البحث عن موصل بيانات Microsoft Sentinel
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
توضح هذه المقالة كيفية نشر موصلات البيانات في Microsoft Sentinel، مع سرد جميع موصلات البيانات المدعومة وغير الجاهزة، بالإضافة إلى ارتباطات لإجراءات النشر العامة، والخطوات الإضافية المطلوبة لموصلات معينة.
تلميح
يتم نشر بعض موصلات البيانات فقط عبر الحلول. لمزيد من المعلومات، راجع كتالوج حلول Microsoft Sentinel. يمكنك أيضا العثور على موصلات بيانات أخرى تم إنشاؤها من قبل المجتمع في مستودع GitHub Microsoft Sentinel.
كيفية استخدام هذا الدليل
أولا، حدد موقع الموصل للمنتج أو الخدمة أو الجهاز وحدده في قائمة العناوين إلى اليمين.
الجزء الأول من المعلومات التي ستراها لكل موصل هو طريقة استيعاب البيانات الخاصة به. سيكون الأسلوب الذي يظهر هناك ارتباطا بأحد إجراءات النشر العامة التالية، والذي يحتوي على معظم المعلومات التي ستحتاجها لتوصيل مصادر البيانات الخاصة بك ب Microsoft Sentinel:
طريقة استيعاب البيانات مقالة مرتبطة مع إرشادات تكامل خدمة إلى خدمة Azure الاتصال إلى خدمات Azure Windows وMicrosoft وAmazon تنسيق الحدث الشائع (CEF) عبر Syslog الحصول على سجلات بتنسيق CEF من جهازك أو جهازك إلى Microsoft Sentinel Microsoft Sentinel Data Collector API الاتصال مصدر البيانات إلى Microsoft Sentinel Data Collector API لاستيعاب البيانات Azure Functions وواجهة برمجة تطبيقات REST استخدام Azure Functions لتوصيل Microsoft Sentinel بمصدر البيانات syslog جمع البيانات من المصادر المستندة إلى Linux باستخدام Syslog سجلات مخصصة جمع البيانات بتنسيقات السجل المخصصة إلى Microsoft Sentinel باستخدام عامل Log Analytics ملاحظة
يرتبط أسلوب استيعاب بيانات تكامل خدمة إلى خدمة Azure بثلاثة أقسام مختلفة من مقالته، اعتمادا على نوع الموصل. يحدد مقطع كل موصل أدناه المقطع ضمن تلك المقالة التي يرتبط بها.
عند نشر موصل معين، اختر المقالة المناسبة المرتبطة بطريقة استيعاب البيانات الخاصة به، واستخدم المعلومات والإرشادات الإضافية في القسم ذي الصلة أدناه لتكملة المعلومات الواردة في تلك المقالة.
تلميح
يمكن أيضا نشر العديد من موصلات البيانات كجزء من حل Microsoft Sentinel، بالإضافة إلى قواعد التحليلات والمصنفات ودلائل المبادئ ذات الصلة. لمزيد من المعلومات، راجع كتالوج حلول Microsoft Sentinel.
يتم توفير المزيد من موصلات البيانات من قبل مجتمع Microsoft Sentinel ويمكن العثور عليها في Azure Marketplace. وثائق موصلات بيانات المجتمع هي مسؤولية المؤسسة التي أنشأت الموصل.
إذا كان لديك مصدر بيانات غير مدرج أو مدعوم حاليا، يمكنك أيضا إنشاء موصل مخصص خاص بك. لمزيد من المعلومات، راجع الموارد لإنشاء موصلات مخصصة ل Microsoft Sentinel.
هام
تمت الإشارة إلى أن موصلات بيانات Microsoft Sentinel موجودة حاليا في المعاينة. تتضمن شروط Azure Preview التكميلية شروطًا قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في الإتاحة العامة.
المتطلبات الأساسية لموصل البيانات
سيكون لكل موصل بيانات مجموعة المتطلبات الأساسية الخاصة به، مثل الأذونات المطلوبة على مساحة عمل Azure أو الاشتراك أو النهج، وما إلى ذلك، أو متطلبات أخرى لمصدر بيانات الشريك الذي تتصل به.
يتم سرد المتطلبات الأساسية لكل موصل بيانات في صفحة موصل البيانات ذات الصلة في Microsoft Sentinel، في علامة التبويب إرشادات .
الحماية من التصيد الاحتيالي Agari وحماية العلامة التجارية (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST قبل النشر: تمكين واجهة برمجة تطبيقات Graph الأمان (اختياري) . بعد التوزيع: تعيين الأذونات الضرورية لتطبيق الوظائف |
| جدول (جداول) Log Analytics | agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-agari-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| إعدادات التطبيق | مطلوب إذا تم تعيين enableSecurityGraphSharing إلى true (انظر أدناه): |
| مدعوم من قبل | أجاري |
تمكين واجهة برمجة تطبيقات Graph الأمان (اختياري)
هام
إذا قمت بتنفيذ هذه الخطوة، فقم بذلك قبل نشر موصل البيانات.
يسمح لك تطبيق وظيفة Agari بمشاركة التحليل الذكي للمخاطر مع Microsoft Sentinel عبر Security Graph API. لاستخدام هذه الميزة، ستحتاج إلى تمكين موصل Sentinel Threat Intelligence Platformsوتسجيل تطبيق في Azure Active Directory.
ستمنحك هذه العملية ثلاث أجزاء من المعلومات لاستخدامها عند نشر Function App: معرف المستأجر Graphومعرف العميل Graphوسر العميل Graph (راجع إعدادات التطبيق في الجدول أعلاه).
تعيين الأذونات الضرورية لتطبيق الوظائف
يستخدم موصل Agari متغير بيئة لتخزين الطوابع الزمنية للوصول إلى السجل. لكي يكتب التطبيق إلى هذا المتغير، يجب تعيين الأذونات إلى الهوية المعينة للنظام.
- في مدخل Microsoft Azure، انتقل إلى Function App.
- في صفحة Function App، حدد Function App من القائمة، ثم حدد Identity ضمن الإعدادات في قائمة التنقل في Function App.
- في علامة التبويب تعيين النظام ، قم بتعيين الحالة إلى تشغيل.
- حدد حفظ، وسيظهر زر تعيينات دور Azure . حددها.
- في شاشة تعيينات دور Azure ، حدد إضافة تعيين دور. قم بتعيين Scope إلى Subscription، وحدد اشتراكك من القائمة المنسدلة Subscription ، وقم بتعيين Role إلى App Configuration Data Owner.
- حدد حفظ.
الذكاء الاصطناعي Analyst (AIA) by Darktrace (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog تكوين إعادة توجيه سجل CEF لمحلل الذكاء الاصطناعي |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | تتبع داكن |
تكوين إعادة توجيه سجل CEF لمحلل الذكاء الاصطناعي
تكوين Darktrace لإعادة توجيه رسائل Syslog بتنسيق CEF إلى مساحة عمل Azure عبر عامل Log Analytics.
- ضمن Darktrace Threat Visualizer، انتقل إلى صفحة System Config في القائمة الرئيسية ضمن Admin.
- من القائمة اليسرى، حدد Modules واختر Microsoft Sentinel من عمليات تكامل سير العمل المتوفرة.
- سيتم فتح نافذة تكوين. حدد موقع Microsoft Sentinel Syslog CEF وحدد جديد للكشف عن إعدادات التكوين، ما لم يتم كشفه بالفعل.
- في حقل تكوين الخادم ، أدخل موقع معاد توجيه السجل وقم بتعديل منفذ الاتصال اختياريا. تأكد من تعيين المنفذ المحدد إلى 514 والسماح به من قبل أي جدران حماية وسيطة.
- قم بتكوين أي حدود تنبيه أو إزاحات زمنية أو إعدادات إضافية كما هو مطلوب.
- راجع أي خيارات تكوين إضافية قد ترغب في تمكينها لتغيير بناء جملة Syslog.
- تمكين إرسال التنبيهات وحفظ التغييرات.
الذكاء الاصطناعي Vectra Detect (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog تكوين إعادة توجيه سجل CEF لكشف الذكاء الاصطناعي Vectra |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Vectra الذكاء الاصطناعي |
تكوين إعادة توجيه سجل CEF لكشف الذكاء الاصطناعي Vectra
تكوين عامل Vectra (X Series) لإعادة توجيه رسائل Syslog بتنسيق CEF إلى مساحة عمل Microsoft Sentinel عبر عامل Log Analytics.
من واجهة Vectra، انتقل إلى الإعدادات > Notifications واختر Edit Syslog configuration. اتبع الإرشادات أدناه لإعداد الاتصال:
- إضافة وجهة جديدة (اسم مضيف معيد توجيه السجل)
- تعيين المنفذ على 514
- تعيين البروتوكول ك UDP
- تعيين التنسيق إلى CEF
- تعيين أنواع السجلات (حدد جميع أنواع السجلات المتوفرة)
- تحديد الحفظ
يمكنك تحديد الزر Test لفرض إرسال بعض أحداث الاختبار إلى معاد توجيه السجل.
لمزيد من المعلومات، راجع دليل Cognito Detect Syslog، والذي يمكن تنزيله من صفحة المورد في Detect UI.
أحداث أمان Akamai (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث المشترك (CEF) عبر Syslog، مع محلل دالة Kusto |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | AkamaiSIEMEvent |
| عنوان URL لدالة Kusto: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt |
| وثائق المورد/ إرشادات التثبيت |
تكوين تكامل إدارة معلومات الأمان والأحداث (SIEM) إعداد موصل CEF. |
| مدعوم من قبل | Akamai |
Alcide kAudit
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector |
| جدول (جداول) Log Analytics | alcide_kaudit_activity_1_CL - سجلات نشاط Alcide kAudit alcide_kaudit_detections_1_CL - اكتشافات Alcide kAudit alcide_kaudit_selections_count_1_CL - عدد نشاط Alcide kAudit alcide_kaudit_selections_details_1_CL - تفاصيل نشاط Alcide kAudit |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
دليل تثبيت Alcide kAudit |
| مدعوم من قبل | السيد |
Alsid ل Active Directory
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | عامل Log Analytics - سجلات مخصصة تكوين إضافي ل Alsid |
| جدول (جداول) Log Analytics | AlsidForADLog_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| الاسم المستعار لدالة Kusto: | afad_parser |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-alsidforad-parser |
| مدعوم من قبل | Alsid |
تكوين إضافي ل Alsid
تكوين خادم Syslog
ستحتاج أولا إلى خادم Linux Syslog الذي سيرسل Alsid ل AD سجلات إليه. عادة ما يمكنك تشغيل rsyslog على Ubuntu.
يمكنك بعد ذلك تكوين هذا الخادم كما تريد، ولكن نوصي بأن تكون قادرا على إخراج سجلات AFAD في ملف منفصل. بدلا من ذلك، يمكنك استخدام قالب التشغيل السريع لنشر خادم Syslog ووكيل Microsoft نيابة عنك. إذا كنت تستخدم القالب، يمكنك تخطي إرشادات تثبيت العامل.
تكوين Alsid لإرسال السجلات إلى خادم Syslog
على مدخل Alsid for AD ، انتقل إلى النظاموالتكوين ثم Syslog. من هناك، يمكنك إنشاء تنبيه Syslog جديد تجاه خادم Syslog الخاص بك.
بمجرد إنشاء تنبيه Syslog جديد، تحقق من تجميع السجلات بشكل صحيح على الخادم الخاص بك في ملف منفصل. على سبيل المثال، للتحقق من سجلاتك، يمكنك استخدام زر اختبار التكوين في تكوين تنبيه Syslog في AFAD. إذا استخدمت قالب التشغيل السريع، فسيستمع خادم Syslog بشكل افتراضي إلى المنفذ 514 في UDP و1514 في TCP، دون TLS.
Amazon Web Services
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصال Microsoft Sentinel إلى Amazon Web Services لاستيعاب بيانات سجل خدمة AWS (مقالة الموصل العلوي) |
| جدول (جداول) Log Analytics | AWSCloudTrail |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
Amazon Web Services S3 (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصال Microsoft Sentinel إلى Amazon Web Services لاستيعاب بيانات سجل خدمة AWS (مقالة الموصل العلوي) |
| جدول (جداول) Log Analytics | AWSCloudTrail AWSGuardDuty AWSVPCFlow |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
Apache HTTP Server
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | عامل Log Analytics - سجلات مخصصة |
| جدول (جداول) Log Analytics | ApacheHTTPServer_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| الاسم المستعار لدالة Kusto: | ApacheHTTPServer |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-apachehttpserver-parser |
| ملف نموذج السجل المخصص: | access.log أو error.log |
Apache Tomcat
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | عامل Log Analytics - سجلات مخصصة |
| جدول (جداول) Log Analytics | Tomcat_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| الاسم المستعار لدالة Kusto: | TomcatEvent |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-ApacheTomcat-parser |
| ملف نموذج السجل المخصص: | access.log أو error.log |
Aruba ClearPass (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث الشائع (CEF) عبر Syslog، مع محلل دالة Kusto |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | ArubaClearPass |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-arubaclearpass-parser |
| وثائق المورد/ إرشادات التثبيت |
اتبع إرشادات Aruba لتكوين ClearPass. |
| مدعوم من قبل | Microsoft |
Atlassian Confluence Audit (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST |
| جدول (جداول) Log Analytics | Confluence_Audit_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-confluenceauditapi-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | ConfluenceAudit |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-confluenceauditapi-parser |
| إعدادات التطبيق | |
| مدعوم من قبل | Microsoft |
Atlassian Jira Audit (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST |
| جدول (جداول) Log Analytics | Jira_Audit_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-jiraauditapi-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | JiraAudit |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-jiraauditapi-parser |
| إعدادات التطبيق | |
| مدعوم من قبل | Microsoft |
Azure Active Directory
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصال بيانات Azure Active Directory إلى Microsoft Sentinel (مقالة الموصل العلوي) |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
قد يتم تطبيق رسوم أخرى |
| جدول (جداول) Log Analytics | SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
Azure Active Directory Identity Protection
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
اشتراك Azure AD Premium P2 قد يتم تطبيق رسوم أخرى |
| جدول (جداول) Log Analytics | SecurityAlert |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
ملاحظة
تم تصميم هذا الموصل لاستيراد التنبيهات التي تكون حالتها "مفتوحة" فقط. لن يتم استيراد التنبيهات التي تم إغلاقها في Azure AD Identity Protection إلى Microsoft Sentinel.
Azure Activity
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى إعدادات التشخيص، التي تتم إدارتها بواسطة نهج Azure الترقية إلى موصل نشاط Azure الجديد |
| جدول (جداول) Log Analytics | AzureActivity |
| دعم DCR | غير مدعوم في الوقت الحالي |
| مدعوم من قبل | Microsoft |
الترقية إلى موصل نشاط Azure الجديد
تغييرات هيكل البيانات
قام هذا الموصل مؤخرا بتغيير آليته الخلفية لتجميع أحداث سجل النشاط. وهو يستخدم الآن البنية الأساسية لبرنامج ربط العمليات التجارية لإعدادات التشخيص . إذا كنت لا تزال تستخدم الأسلوب القديم لهذا الموصل، يتم تشجيعك بشدة على الترقية إلى الإصدار الجديد، والذي يوفر وظائف أفضل وتناسقا أكبر مع سجلات الموارد. راجع الإرشادات أدناه.
يرسل أسلوب إعدادات التشخيص نفس البيانات التي أرسلها الأسلوب القديم من خدمة سجل النشاط، على الرغم من وجود بعض التغييرات على بنية جدول AzureActivity .
فيما يلي بعض التحسينات الرئيسية الناتجة عن الانتقال إلى البنية الأساسية لبرنامج ربط العمليات التجارية لإعدادات التشخيص:
- زمن انتقال استيعاب محسن (استيعاب الحدث في غضون 2-3 دقائق من التكرار بدلا من 15-20 دقيقة).
- موثوقية محسنة.
- تحسين الأداء.
- دعم جميع فئات الأحداث التي تم تسجيلها بواسطة خدمة سجل النشاط (تدعم الآلية القديمة مجموعة فرعية فقط - على سبيل المثال، لا يوجد دعم لأحداث Service Health).
- الإدارة على نطاق واسع باستخدام نهج Azure.
راجع وثائق Azure Monitor لمزيد من المعالجة المتعمقة لسجل نشاط Azureومسار إعدادات التشخيص.
قطع الاتصال بالبنية الأساسية لبرنامج ربط العمليات التجارية القديمة
قبل إعداد موصل سجل نشاط Azure الجديد، يجب قطع اتصال الاشتراكات الموجودة بالأسلوب القديم.
من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات. من قائمة الموصلات، حدد نشاط Azure، ثم حدد زر فتح صفحة الموصل في أسفل اليمين.
ضمن علامة التبويب إرشادات ، في قسم التكوين ، في الخطوة 1، راجع قائمة الاشتراكات الموجودة المتصلة بالأسلوب القديم (حتى تعرف تلك التي تريد إضافتها إلى الجديد)، وافصلها جميعا مرة واحدة بالنقر فوق الزر قطع الاتصال بالكل أدناه.
تابع إعداد الموصل الجديد مع الإرشادات المرتبطة في الجدول أعلاه.
حماية Azure DDoS
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى إعدادات التشخيص |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
قد يتم تطبيق رسوم أخرى |
| جدول (جداول) Log Analytics | AzureDiagnostics |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التشخيصات الموصى بها | إشعارات حماية DDoS DDoSMitigationFlowLogs DDoSMitigationReports |
| مدعوم من قبل | Microsoft |
Azure Defender
راجع Microsoft Defender for Cloud.
جدار حماية Azure
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى إعدادات التشخيص |
| جدول (جداول) Log Analytics | AzureDiagnostics |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التشخيصات الموصى بها | AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy |
| مدعوم من قبل | Microsoft |
Azure حماية البيانات (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure |
| جدول (جداول) Log Analytics | InformationProtectionLogs_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| مدعوم من قبل | Microsoft |
ملاحظة
يستخدم موصل بيانات Azure حماية البيانات (AIP) ميزة سجلات تدقيق AIP (معاينة عامة). اعتبارا من 18 مارس 2022، نقوم بإيقاف تشغيل المعاينة العامة لتحليلات AIP وسجلات التدقيق، والمضي قدما في استخدام حل التدقيق Microsoft 365. ومن المقرر التقاعد الكامل في 30 سبتمبر 2022.
لمزيد من المعلومات، راجع الخدمات المزالة والمتوقفة.
Azure Key Vault
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى إعدادات التشخيص، التي تتم إدارتها بواسطة نهج Azure |
| جدول (جداول) Log Analytics | بيانات KeyVaultData |
| دعم DCR | غير مدعوم في الوقت الحالي |
| مدعوم من قبل | Microsoft |
خدمة Azure Kubernetes (AKS)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى إعدادات التشخيص، التي تتم إدارتها بواسطة نهج Azure |
| جدول (جداول) Log Analytics | kube-apiserver تدقيق kube kube-Audit-admin مدير تحكم kube kube-scheduler مقياس تلقائي للمجموعة حارس |
| دعم DCR | غير مدعوم في الوقت الحالي |
| مدعوم من قبل | Microsoft |
Microsoft Purview
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى إعدادات التشخيص لمزيد من المعلومات، راجع البرنامج التعليمي: دمج Microsoft Sentinel وMicrosoft Purview. |
| جدول (جداول) Log Analytics | سجلات PurviewDataSensitivity |
| دعم DCR | غير مدعوم في الوقت الحالي |
| مدعوم من قبل | Microsoft |
قاعدة بيانات Azure SQL
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى إعدادات التشخيص، التي تتم إدارتها بواسطة نهج Azure متوفر أيضا في Azure SQL وMicrosoft Sentinel لحلول SQL PaaS |
| جدول (جداول) Log Analytics | أحداث تدقيق أمان SQL SQL Insights ضبط تلقائي QueryStoreRuntimeStatistics أخطاء إحصائيات انتظار قاعدة البيانات المهلات الكتل حالات التوقف التام أساسي InstanceAndAppAdvanced إدارة حمل العمل تدقيق عمليات Devops |
| دعم DCR | غير مدعوم في الوقت الحالي |
| مدعوم من قبل | Microsoft |
حساب تخزين Azure
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى إعدادات التشخيص ملاحظات حول تكوين إعدادات تشخيص حساب التخزين |
| جدول (جداول) Log Analytics | سجلات الكائنات الثنائية كبيرة الحجم ل Storage سجلات التخزين سجلات StorageTable سجلات التخزين |
| التشخيصات الموصى بها | المورد المتعلق بالحساب موارد Blob/Queue/Table/File |
| دعم DCR | غير مدعوم في الوقت الحالي |
| مدعوم من قبل | Microsoft |
ملاحظات حول تكوين إعدادات تشخيص حساب التخزين
يحتوي مورد حساب التخزين (الأصل) داخله على موارد أخرى (تابعة) لكل نوع من أنواع التخزين: الملفات والجداول وقوائم الانتظار والكائنات الثنائية كبيرة الحجم.
عند تكوين التشخيصات لحساب تخزين، يجب عليك تحديد وتكوين، بدوره:
- مورد الحساب الأصل، تصدير مقياس المعاملة .
- كل مورد من موارد نوع التخزين التابعة، وتصدير جميع السجلات والمقاييس (راجع الجدول أعلاه).
سترى فقط أنواع التخزين التي قمت بالفعل بتعريف الموارد لها.
Azure Web Application Firewall (WAF)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى إعدادات التشخيص |
| جدول (جداول) Log Analytics | AzureDiagnostics |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التشخيصات الموصى بها | Application Gateway Front Door نهج CDN WAF |
| مدعوم من قبل | Microsoft |
جدار حماية CloudGen Firewall
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | نشاط CGFWFirewall |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-barracudacloudfirewall-function |
| وثائق المورد/ إرشادات التثبيت |
https://aka.ms/Sentinel-barracudacloudfirewall-connector |
| مدعوم من قبل | Barracuda |
Barracuda WAF
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog (Barracuda) Barracuda_CL |
| وثائق المورد/ إرشادات التثبيت |
https://aka.ms/asi-barracuda-connector |
| مدعوم من قبل | Barracuda |
راجع إرشادات Barracuda - لاحظ المرافق المعينة للأنوع المختلفة من السجلات وتأكد من إضافتها إلى تكوين Syslog الافتراضي.
BETTER Mobile Threat Defense (MTD) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector |
| جدول (جداول) Log Analytics | BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
وثائق أفضل MTD إعداد نهج التهديد، الذي يحدد الحوادث التي يتم الإبلاغ عنها إلى Microsoft Sentinel:
|
| مدعوم من قبل | أفضل الأجهزة المحمولة |
ما وراء الأمان beSECURE
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector |
| جدول (جداول) Log Analytics | beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
الوصول إلى قائمة التكامل :
|
| مدعوم من قبل | ما بعد الأمان |
BlackBerry CylancePROTECT (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | CylancePROTECT |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-cylanceprotect-parser |
| وثائق المورد/ إرشادات التثبيت |
دليل Cylance Syslog |
| مدعوم من قبل | Microsoft |
Broadcom Symantec Data Loss Prevention (DLP) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث المشترك (CEF) عبر Syslog، مع محلل دالة Kusto |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | SymantecDLP |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-symantecdlp-parser |
| وثائق المورد/ إرشادات التثبيت |
تكوين إجراء Log to a Syslog Server |
| مدعوم من قبل | Microsoft |
نقطة التحقق
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog متوفر من حل نقطة الاختيار |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
مصدر السجل - تصدير سجل نقطة الاختيار |
| مدعوم من قبل | نقطة التحقق |
Cisco ASA
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog متوفر في حل Cisco ASA |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
دليل تكوين Cisco ASA Series CLI |
| مدعوم من قبل | Microsoft |
Cisco Firepower eStreamer (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog تكوين إضافي ل Cisco Firepower eStreamer |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
eStreamer eNcore لدليل عمليات Sentinel |
| مدعوم من قبل | Cisco |
تكوين إضافي ل Cisco Firepower eStreamer
تثبيت عميل Firepower eNcore
تثبيت وتكوين عميل Firepower eNcore eStreamer. لمزيد من المعلومات، راجع دليل تثبيت Cisco الكامل.تنزيل Firepower Connector من GitHub
قم بتنزيل أحدث إصدار من موصل Firepower eNcore ل Microsoft Sentinel من مستودع Cisco GitHub. إذا كنت تخطط لاستخدام python3، فاستخدم موصل python3 eStreamer.إنشاء ملف pkcs12 باستخدام عنوان IP Azure/VM
إنشاء شهادة pkcs12 باستخدام IP العام لمثيل الجهاز الظاهري في Firepower ضمن System > Integration > eStreamer. لمزيد من المعلومات، راجع دليل التثبيت.اختبار الاتصال بين عميل Azure/VM و FMC
انسخ ملف pkcs12 من FMC إلى مثيل Azure/VM وقم بتشغيل الأداة المساعدة للاختبار (./encore.sh الاختبار) لضمان إمكانية إنشاء اتصال. لمزيد من المعلومات، راجع دليل الإعداد.تكوين eNcore لدفق البيانات إلى العامل
تكوين eNcore لدفق البيانات عبر TCP إلى عامل تحليلات السجل. يجب تمكين هذا التكوين بشكل افتراضي، ولكن يمكن تكوين منافذ إضافية وبروتوكولات دفق اعتمادا على وضع أمان الشبكة. من الممكن أيضا حفظ البيانات إلى نظام الملفات. لمزيد من المعلومات، راجع تكوين eNcore.
Cisco Meraki (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog متوفر في حل Cisco ISE |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | CiscoMeraki |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-ciscomeraki-parser |
| وثائق المورد/ إرشادات التثبيت |
وثائق Meraki Device Reporting |
| مدعوم من قبل | Microsoft |
Cisco Umbrella (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST متوفر في حل Cisco Umbrella |
| جدول (جداول) Log Analytics | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | Cisco_Umbrella |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-ciscoumbrella-function |
| إعدادات التطبيق | |
| مدعوم من قبل | Microsoft |
Cisco Unified Computing System (UCS) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | CiscoUCS |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-ciscoucs-function |
| وثائق المورد/ إرشادات التثبيت |
إعداد Syslog ل Cisco UCS - Cisco |
| مدعوم من قبل | Microsoft |
Citrix Analytics (الأمان)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector |
| جدول (جداول) Log Analytics | CitrixAnalytics_SAlerts_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
الاتصال Citrix إلى Microsoft Sentinel |
| مدعوم من قبل | أنظمة Citrix |
جدار حماية Citrix Web App (WAF) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
لتكوين WAF، راجع دعم WIKI - تكوين WAF مع NetScaler. لتكوين سجلات CEF، راجع دعم تسجيل CEF في جدار حماية التطبيق. لإعادة توجيه السجلات إلى الوكيل، راجع تكوين جهاز Citrix ADC لتسجيل التدقيق. |
| مدعوم من قبل | أنظمة Citrix |
Cognni (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector |
| جدول (جداول) Log Analytics | CognniIncidents_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
الاتصال إلى كوغني
|
| مدعوم من قبل | Cognni |
المراقبة المستمرة للمخاطر ل SAP (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | متوفر فقط بعد تثبيت حل المراقبة المستمرة للمخاطر ل SAP |
| جدول (جداول) Log Analytics | راجع مرجع بيانات حل Microsoft Sentinel SAP |
| وثائق المورد/ إرشادات التثبيت |
نشر مراقبة SAP المستمرة للمخاطر |
| مدعوم من قبل | Microsoft |
أحداث CyberArk Enterprise Password Vault (EPV) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث الشائع (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
تطبيقات إدارة معلومات الأمان والأحداث (SIEM) |
| مدعوم من قبل | CyberArk |
سجلات أمان Cyberpion (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Microsoft Sentinel Data Collector API |
| جدول (جداول) Log Analytics | CyberpionActionItems_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
الحصول على اشتراك Cyberpion دمج تنبيهات أمان Cyberpion في Microsoft Sentinel |
| مدعوم من قبل | Cyberpion |
DNS (معاينة)
راجع Windows خادم DNS (معاينة).
Dynamics 365
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات متوفر أيضا كجزء من حل Microsoft Sentinel 4 Dynamics 365 |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
قد يتم تطبيق رسوم أخرى |
| جدول (جداول) Log Analytics | Dynamics365Activity |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
ESET Enterprise Inspector (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST إنشاء مستخدم API |
| جدول (جداول) Log Analytics | ESETEnterpriseInspector_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | النشر بنقرة واحدة عبر قالب Azure Resource Manager (ARM) |
| مدعوم من قبل | ايسيت |
إنشاء مستخدم API
- سجل الدخول إلى وحدة تحكم ESET Security Management Center / ESET PROTECT باستخدام حساب مسؤول، وحدد علامة التبويب More وعلامة التبويب الفرعية Users .
- حدد الزر ADD NEW وأضف مستخدما أصليا.
- إنشاء مستخدم جديد لحساب واجهة برمجة التطبيقات. الاختياري: حدد مجموعة Home غير All للحد من عمليات الكشف التي يتم تناولها.
- ضمن علامة التبويب مجموعات الأذونات ، قم بتعيين مجموعة أذونات مراجع مركز التحكم في المؤسسة .
- سجل الخروج من حساب المسؤول وسجل الدخول إلى وحدة التحكم باستخدام بيانات اعتماد واجهة برمجة التطبيقات الجديدة للتحقق من الصحة، ثم قم بتسجيل الخروج من حساب واجهة برمجة التطبيقات.
مركز إدارة أمان ESET (SMC) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog تكوين سجلات ESET SMC التي سيتم جمعها تكوين عامل OMS لتمرير بيانات Eset SMC بتنسيق واجهة برمجة التطبيقات تغيير تكوين عامل OMS لالتقاط العلامة oms.api.eset وتحليل البيانات المنظمة تعطيل التكوين التلقائي وإعادة تشغيل العامل |
| جدول (جداول) Log Analytics | eset_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
وثائق خادم ESET Syslog |
| مدعوم من قبل | ايسيت |
تكوين سجلات ESET SMC التي سيتم تجميعها
تكوين rsyslog لقبول السجلات من عنوان IP الخاص بك Eset SMC.
sudo -i
# Set ESET SMC source IP address
export ESETIP={Enter your IP address}
# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-remote.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $ESETIP
\$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning @127.0.0.1:25224
EOF
# Restart rsyslog
systemctl restart rsyslog
تكوين عامل OMS لتمرير بيانات Eset SMC بتنسيق واجهة برمجة التطبيقات
من أجل التعرف على بيانات Eset بسهولة، ادفعها إلى جدول منفصل وقم بتحليلها في العامل لتبسيط استعلام Microsoft Sentinel وتسريعه.
في ملف /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf ، قم بتعديل match oms.** المقطع لإرسال البيانات كعناصر API، عن طريق تغيير النوع إلى out_oms_api.
التعليمات البرمجية التالية مثال على القسم الكامل match oms.** :
<match oms.** docker.**>
type out_oms_api
log_level info
num_threads 5
run_in_background false
omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
buffer_chunk_limit 15m
buffer_type file
buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
buffer_queue_limit 10
buffer_queue_full_action drop_oldest_chunk
flush_interval 20s
retry_limit 10
retry_wait 30s
max_retry_wait 9m
</match>
تغيير تكوين عامل OMS لالتقاط العلامة oms.api.eset وتحليل البيانات المنظمة
تعديل ملف /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf .
على سبيل المثال:
<source>
type syslog
port 25224
bind 127.0.0.1
protocol_type udp
tag oms.api.eset
</source>
<filter oms.api.**>
@type parser
key_name message
format /(?<message>.*?{.*})/
</filter>
<filter oms.api.**>
@type parser
key_name message
format json
</filter>
تعطيل التكوين التلقائي وإعادة تشغيل العامل
على سبيل المثال:
# Disable changes to configuration files from Portal
sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
# Restart agent
sudo /opt/microsoft/omsagent/bin/service_control restart
# Check agent logs
tail -f /var/opt/microsoft/omsagent/log/omsagent.log
تكوين Eset SMC لإرسال سجلات إلى الموصل
تكوين Eset Logs باستخدام نمط BSD وتنسيق JSON.
- انتقل إلى تكوين خادم Syslog لتكوين المضيف (الموصل الخاص بك) وتنسيق BSD وTCP النقل
- انتقل إلى قسم التسجيل وقم بتمكين JSON
لمزيد من المعلومات، راجع وثائق Eset.
Exabeam Advanced Analytics (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | حدث ExabeamEvent |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-Exabeam-parser |
| وثائق المورد/ إرشادات التثبيت |
تكوين إعلامات نشاط نظام التحليلات المتقدمة |
| مدعوم من قبل | Microsoft |
ExtraHop Reveal (x)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
موصل SIEM للكشف عن ExtraHop |
| مدعوم من قبل | ExtraHop |
F5 BIG-IP
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector |
| جدول (جداول) Log Analytics | F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
دمج F5 BIG-IP مع Microsoft Sentinel |
| مدعوم من قبل | شبكات F5 |
شبكات F5 (ASM)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
تكوين تسجيل أحداث أمان التطبيق |
| مدعوم من قبل | شبكات F5 |
Forcepoint Cloud Access Security Broker (CASB) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
Forcepoint CASB وMicrosoft Sentinel |
| مدعوم من قبل | Forcepoint |
Forcepoint Cloud Security Gateway (CSG) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
Forcepoint Cloud Security Gateway وMicrosoft Sentinel |
| مدعوم من قبل | Forcepoint |
منع فقدان بيانات Forcepoint (DLP) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector |
| جدول (جداول) Log Analytics | ForcepointDLPEvents_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
منع فقدان بيانات Forcepoint وMicrosoft Sentinel |
| مدعوم من قبل | Forcepoint |
Forcepoint Next Generation Firewall (NGFW) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
Forcepoint Next-Gen Firewall وMicrosoft Sentinel |
| مدعوم من قبل | Forcepoint |
ForgeRock Common Audit (CAUD) ل CEF (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
قم بتثبيت هذا أولا! ForgeRock Common Audit (CAUD) ل Microsoft Sentinel |
| مدعوم من قبل | ForgeRock |
Fortinet
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog إرسال سجلات Fortinet إلى معاد توجيه السجل متوفر في حل Fortinet Fortigate |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
مكتبة مستندات Fortinet اختر الإصدار الخاص بك واستخدم ملفات PDF المرجعية لرسالة الدليل والسجل . |
| مدعوم من قبل | Fortinet |
إرسال سجلات Fortinet إلى معاد توجيه السجل
افتح CLI على جهاز Fortinet وقم بتشغيل الأوامر التالية:
config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end
- استبدل عنوان IP للخادم بعنوان IP الخاص بإعادة توجيه السجل.
- قم بتعيين منفذ syslog إلى 514 أو المنفذ المعين على البرنامج الخفي Syslog على معاد التوجيه.
- لتمكين تنسيق CEF في إصدارات FortiOS المبكرة، قد تحتاج إلى تشغيل تعطيل مجموعة الأوامر csv.
GitHub (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector متوفر فقط بعد تثبيت Continuous Threat Monitoring للحل GitHub. |
| جدول (جداول) Log Analytics | GitHubAuditLogPolling_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| بيانات اعتماد واجهة برمجة التطبيقات | الرمز المميز للوصول GitHub |
| إرشادات نشر الموصل | تكوين إضافي لموصل GitHub |
| مدعوم من قبل | Microsoft |
تكوين إضافي لموصل GitHub
المتطلبات الأساسية: يجب أن يكون لديك حساب مؤسسة GitHub ومؤسسة يمكن الوصول إليها للاتصال GitHub من Microsoft Sentinel.
قم بتثبيت الحل Continuous Threat Monitoring for GitHub في مساحة عمل Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى والحلول الجاهزة ل Microsoft Sentinel ونشرها مركزيا (معاينة عامة) .
إنشاء رمز وصول شخصي GitHub للاستخدام في موصل Microsoft Sentinel. لمزيد من المعلومات، راجع وثائق GitHub ذات الصلة.
في منطقة موصلات بيانات Microsoft Sentinel، ابحث عن موصل GitHub وحدد موقعه. على اليمين، حدد فتح صفحة الموصل.
في علامة التبويب إرشادات ، في منطقة التكوين ، أدخل التفاصيل التالية:
- اسم المؤسسة: أدخل اسم المؤسسة التي تريد الاتصال بها.
- مفتاح API: أدخل رمز الوصول الشخصي GitHub الذي أنشأته سابقا في هذا الإجراء.
حدد الاتصال لبدء استيعاب سجلات GitHub إلى Microsoft Sentinel.
Google Workspace (G-Suite) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST تكوين إضافي لواجهة برمجة تطبيقات تقارير Google |
| جدول (جداول) Log Analytics | GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | تقارير GWorkspaceActivityReports |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser |
| إعدادات التطبيق | |
| مدعوم من قبل | Microsoft |
تكوين إضافي لواجهة برمجة تطبيقات تقارير Google
أضف http://localhost:8081/ ضمن Authorized redirect URIs أثناء إنشاء بيانات اعتماد تطبيق ويب.
- اتبع الإرشادات للحصول على credentials.json.
- للحصول على سلسلة منتقي Google، قم بتشغيل برنامج Python النصي هذا (في نفس المسار مثل credentials.json).
- انسخ إخراج سلسلة المخلل في علامات اقتباس مفردة واحفظها. ستكون هناك حاجة لنشر تطبيق الوظائف.
نظام إدارة الهجوم الوهمي (AMS) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
دليل مسؤول الشبكات اللامعة |
| مدعوم من قبل | Illusive Networks |
Imperva WAF Gateway (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog متوفر في حل Imperva Cloud WAF |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
خطوات لتمكين تسجيل تنبيه بوابة Imperva WAF إلى Microsoft Sentinel |
| مدعوم من قبل | Imperva |
نظام تشغيل هوية شبكة Infoblox (NIOS) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog متوفر في حل InfoBlox Threat Defense |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | InfobloxNIOS |
| عنوان URL لدالة Kusto: | https://aka.ms/sentinelgithubparsersinfoblox |
| وثائق المورد/ إرشادات التثبيت |
دليل نشر NIOS SNMP وSyslog |
| مدعوم من قبل | Microsoft |
Juniper SRX (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | JuniperSRX |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-junipersrx-parser |
| وثائق المورد/ إرشادات التثبيت |
تكوين تسجيل نسبة استخدام الشبكة (سجلات نهج الأمان) للأجهزة الفرعية ل SRX تكوين تسجيل النظام |
| مدعوم من قبل | شبكات جونيبر |
Lookout Mobile Threat Defense (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST متوفر فقط بعد تثبيت Lookout Mobile Threat Defense لحل Microsoft Sentinel |
| جدول (جداول) Log Analytics | Lookout_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| مدعوم من قبل | اطلاع |
Microsoft 365 Defender
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصال البيانات من Microsoft 365 Defender إلى Microsoft Sentinel (مقالة الموصل العلوي) |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
ترخيص صالح Microsoft 365 Defender |
| جدول (جداول) Log Analytics | تنبيهات: SecurityAlert SecurityIncident أحداث Defender لنقطة النهاية: DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Defender لـ Office 365 الأحداث: EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents أحداث Defender for Identity: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents أحداث Defender for Cloud Apps: CloudAppEvents تنبيهات Defender كأحداث: AlertInfo AlertEvidence |
| دعم DCR | غير مدعوم في الوقت الحالي |
| مدعوم من قبل | Microsoft |
Microsoft 365 إدارة المخاطر الداخلية (IRM) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات متوفر أيضا في حل إدارة المخاطر Microsoft 365 Insider |
| الترخيص والمتطلبات الأساسية الأخرى |
|
| جدول (جداول) Log Analytics | SecurityAlert |
| عامل تصفية استعلام البيانات | SecurityAlert| where ProductName == "Microsoft 365 Insider Risk Management" |
| مدعوم من قبل | Microsoft |
Microsoft Defender للسحابة
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصال تنبيهات الأمان من Microsoft Defender for Cloud (مقالة الموصل العلوي) |
| جدول (جداول) Log Analytics | SecurityAlert |
| مدعوم من قبل | Microsoft |
تطبيقات Microsoft Defender للسحابة
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات بالنسبة لسجلات اكتشاف السحابة، قم بتمكين Microsoft Sentinel ك SIEM في Microsoft Defender for Cloud Apps |
| جدول (جداول) Log Analytics | SecurityAlert - للتنبيهات McasShadowItReporting - لسجلات اكتشاف السحابة |
| مدعوم من قبل | Microsoft |
Microsoft Defender لنقطة النهاية
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
ترخيص صالح لنشر Microsoft Defender لنقطة النهاية |
| جدول (جداول) Log Analytics | SecurityAlert |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
Microsoft Defender for Identity
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات |
| جدول (جداول) Log Analytics | SecurityAlert |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
Microsoft Defender لإنترنت الأشياء
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات |
| جدول (جداول) Log Analytics | SecurityAlert |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
Microsoft Defender for Office 365
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
يجب أن يكون لديك ترخيص صالح Office 365 ATP الخطة 2 |
| جدول (جداول) Log Analytics | SecurityAlert |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
Microsoft Office 365
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
يجب أن يكون نشر Office 365 الخاص بك على نفس المستأجر مثل مساحة عمل Microsoft Sentinel. قد يتم تطبيق رسوم أخرى. |
| جدول (جداول) Log Analytics | OfficeActivity |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
Microsoft Power BI (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
يجب أن يكون نشر Office 365 الخاص بك على نفس المستأجر مثل مساحة عمل Microsoft Sentinel. قد يتم تطبيق رسوم أخرى. |
| جدول (جداول) Log Analytics | PowerBIActivity |
| مدعوم من قبل | Microsoft |
Microsoft Project (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى واجهة برمجة التطبيقات |
| المتطلبات الأساسية للترخيص/ معلومات التكلفة |
يجب أن يكون نشر Office 365 الخاص بك على نفس المستأجر مثل مساحة عمل Microsoft Sentinel. قد يتم تطبيق رسوم أخرى. |
| جدول (جداول) Log Analytics | ProjectActivity |
| مدعوم من قبل | Microsoft |
Microsoft Sysmon for Linux (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Syslog، مع، محللات ASIM استنادا إلى وظائف Kusto |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
Morphisec UTPP (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث الشائع (CEF) عبر Syslog، مع محلل دالة Kusto |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | التحويل التدريجي |
| عنوان URL لدالة Kusto | https://aka.ms/Sentinel-Morphiescutpp-parser |
| مدعوم من قبل | التحويل التدريجي |
Netskope (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST |
| جدول (جداول) Log Analytics | Netskope_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-netskope-functioncode |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | Netskope |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-netskope-parser |
| إعدادات التطبيق | https://<Tenant Name>.goskope.com) |
| مدعوم من قبل | Microsoft |
خادم NGINX HTTP (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | عامل Log Analytics - سجلات مخصصة |
| جدول (جداول) Log Analytics | NGINX_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| الاسم المستعار لدالة Kusto: | NGINXHTTPServer |
| عنوان URL لدالة Kusto | https://aka.ms/Sentinel-NGINXHTTP-parser |
| وثائق المورد/ إرشادات التثبيت |
ngx_http_log_module الوحدة النمطية |
| ملف نموذج السجل المخصص: | access.log أو error.log |
| مدعوم من قبل | Microsoft |
NXLog Basic Security Module (BSM) macOS (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Microsoft Sentinel Data Collector API |
| جدول (جداول) Log Analytics | BSMmacOS_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
دليل مستخدم NXLog Microsoft Sentinel |
| مدعوم من قبل | NXLog |
سجلات NXLog DNS (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Microsoft Sentinel Data Collector API |
| جدول (جداول) Log Analytics | DNS_Logs_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
دليل مستخدم NXLog Microsoft Sentinel |
| مدعوم من قبل | NXLog |
NXLog LinuxAudit (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Microsoft Sentinel Data Collector API |
| جدول (جداول) Log Analytics | LinuxAudit_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
دليل مستخدم NXLog Microsoft Sentinel |
| مدعوم من قبل | NXLog |
Okta single Sign-On (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST |
| جدول (جداول) Log Analytics | Okta_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/sentineloktaazurefunctioncodev2 |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| إعدادات التطبيق | https://<OktaDomain>/api/v1/logs?since=. تحديد مساحة اسم المجال.) |
| مدعوم من قبل | Microsoft |
Onapsis Platform (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog، مع دالة Kusto للبحث والإثراء تكوين Onapsis لإرسال سجلات CEF إلى معاد توجيه السجل |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | incident_lookup |
| عنوان URL لدالة Kusto | https://aka.ms/Sentinel-Onapsis-parser |
| مدعوم من قبل | Onapsis |
تكوين Onapsis لإرسال سجلات CEF إلى معاد توجيه السجل
راجع تعليمات Onapsis داخل المنتج لإعداد إعادة توجيه السجل إلى عامل Log Analytics.
- انتقل إلى إعداد > عمليات تكامل الجهات > الخارجية الدفاع عن المنبهات واتبع الإرشادات الخاصة ب Microsoft Sentinel.
- تأكد من أن وحدة تحكم Onapsis الخاصة بك يمكنها الوصول إلى جهاز إعادة توجيه السجل حيث تم تثبيت العامل. يجب إرسال السجلات إلى المنفذ 514 باستخدام TCP.
حماية هوية واحدة (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث الشائع (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
دليل إدارة واحد لحماية الهوية للجلسات المتميزة |
| مدعوم من قبل | هوية واحدة |
Oracle WebLogic Server (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | عامل Log Analytics - سجلات مخصصة |
| جدول (جداول) Log Analytics | OracleWebLogicServer_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| الاسم المستعار لدالة Kusto: | OracleWebLogicServerEvent |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-OracleWebLogicServer-parser |
| وثائق المورد/ إرشادات التثبيت |
وثائق Oracle WebLogic Server |
| ملف عينة سجل مخصص: | server.log |
| مدعوم من قبل | Microsoft |
أمان Orca (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector |
| جدول (جداول) Log Analytics | OrcaAlerts_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
تكامل Microsoft Sentinel |
| مدعوم من قبل | أمان Orca |
OSSEC (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث المشترك (CEF) عبر Syslog، مع محلل دالة Kusto |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | حدث OSSECEvent |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-OSSEC-parser |
| وثائق المورد/ إرشادات التثبيت |
وثائق OSSEC إرسال التنبيهات عبر syslog |
| مدعوم من قبل | Microsoft |
شبكات Palo Alto
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog متوفر أيضا في حلول Palo Alto PAN-OS و Prisma |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
إرشادات تكوين تنسيق الحدث الشائع (CEF) تكوين Syslog Monitoring |
| مدعوم من قبل | شبكات Palo Alto |
سجلات نشاط Perimeter 81 (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | واجهة برمجة تطبيقات Microsoft Sentinel Data Collector |
| جدول (جداول) Log Analytics | Perimeter81_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
وثائق Perimeter 81 |
| مدعوم من قبل | Perimeter 81 |
Proofpoint عند الطلب (POD) أمان البريد الإلكتروني (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST متوفر أيضا في حل Proofpoint POD |
| جدول (جداول) Log Analytics | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-proofpointpod-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | ProofpointPOD |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-proofpointpod-parser |
| إعدادات التطبيق | |
| مدعوم من قبل | Microsoft |
الحماية من الهجوم المستهدف ل Proofpoint (TAP) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST متوفر أيضا في حل Proofpoint TAP |
| جدول (جداول) Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/sentinelproofpointtapazurefunctioncode |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| إعدادات التطبيق | https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300) |
| مدعوم من قبل | Microsoft |
Pulse الاتصال Secure (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | PulseConnectSecure |
| عنوان URL لدالة Kusto: | https://aka.ms/sentinelgithubparserspulsesecurevpn |
| وثائق المورد/ إرشادات التثبيت |
تكوين Syslog |
| مدعوم من قبل | Microsoft |
Qualys VM KnowledgeBase (KB) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST تكوين إضافي ل Qualys VM KB متوفر أيضا في حل Qualys VM |
| جدول (جداول) Log Analytics | QualysKB_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-qualyskb-functioncode |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | QualysKB |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-qualyskb-parser |
| إعدادات التطبيق | https://<API Server>/api/2.0.&. لا توجد مسافات.) |
| مدعوم من قبل | Microsoft |
تكوين إضافي ل Qualys VM KB
- سجل الدخول إلى وحدة تحكم Qualys Vulnerability Management باستخدام حساب مسؤول، وحدد علامة التبويب Users وعلامة التبويب الفرعية Users .
- حدد القائمة المنسدلة New وحدد Users.
- إنشاء اسم مستخدم وكلمة مرور لحساب واجهة برمجة التطبيقات.
- في علامة التبويب أدوار المستخدم ، تأكد من تعيين دور الحساب إلى Manager ويسمح بالوصول إلى واجهة المستخدم الرسوميةوواجهة برمجة التطبيقات
- سجل الخروج من حساب المسؤول وسجل الدخول إلى وحدة التحكم باستخدام بيانات اعتماد واجهة برمجة التطبيقات الجديدة للتحقق من الصحة، ثم قم بتسجيل الخروج من حساب واجهة برمجة التطبيقات.
- قم بتسجيل الدخول مرة أخرى إلى وحدة التحكم باستخدام حساب مسؤول وتعديل حسابات واجهة برمجة التطبيقات أدوار المستخدم، وإزالة الوصول إلى واجهة المستخدم الرسومية.
- احفظ جميع التغييرات
Qualys Vulnerability Management (VM) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST تكوين إضافي لجهاز Qualys الظاهري النشر اليدوي - بعد تكوين Function App |
| جدول (جداول) Log Analytics | QualysHostDetection_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/sentinelqualysvmazurefunctioncode |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| إعدادات التطبيق | https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=.&. لا توجد مسافات.) |
| مدعوم من قبل | Microsoft |
تكوين إضافي لجهاز Qualys الظاهري
- سجل الدخول إلى وحدة تحكم Qualys Vulnerability Management باستخدام حساب مسؤول، وحدد علامة التبويب Users وعلامة التبويب الفرعية Users .
- حدد القائمة المنسدلة New وحدد Users.
- إنشاء اسم مستخدم وكلمة مرور لحساب واجهة برمجة التطبيقات.
- في علامة التبويب أدوار المستخدم ، تأكد من تعيين دور الحساب إلى Manager ويسمح بالوصول إلى واجهة المستخدم الرسوميةوواجهة برمجة التطبيقات
- سجل الخروج من حساب المسؤول وسجل الدخول إلى وحدة التحكم باستخدام بيانات اعتماد واجهة برمجة التطبيقات الجديدة للتحقق من الصحة، ثم سجل الخروج من حساب واجهة برمجة التطبيقات.
- قم بتسجيل الدخول مرة أخرى إلى وحدة التحكم باستخدام حساب مسؤول وتعديل حسابات واجهة برمجة التطبيقات أدوار المستخدم، وإزالة الوصول إلى واجهة المستخدم الرسومية.
- احفظ جميع التغييرات
النشر اليدوي - بعد تكوين Function App
تكوين ملف host.json
نظرا للكمية الكبيرة المحتملة من بيانات الكشف عن مضيف Qualys التي يتم استيعابها، يمكن أن يتسبب ذلك في تجاوز وقت التنفيذ لمهلة Function App الافتراضية التي تبلغ خمس دقائق. قم بزيادة مدة المهلة الافتراضية إلى 10 دقائق كحد أقصى، ضمن خطة الاستهلاك، للسماح بمزيد من الوقت لتنفيذ Function App.
- في Function App، حدد Function App Name وحدد صفحة App Service Editor .
- حدد Go لفتح المحرر، ثم حدد ملف host.json ضمن دليل wwwroot .
- أضف السطر
"functionTimeout": "00:10:00",أعلىmanagedDependancyالسطر. - تأكد من ظهور SAVED في الزاوية العلوية اليسرى من المحرر، ثم قم بإنهاء المحرر.
إذا كانت هناك حاجة إلى مدة مهلة أطول، ففكر في الترقية إلى خطة خدمة التطبيقات.
Salesforce Service Cloud (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST |
| جدول (جداول) Log Analytics | SalesforceServiceCloud_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
دليل مطور واجهة برمجة تطبيقات Salesforce REST ضمن إعداد التخويل، استخدم أسلوب معرف جلسة العمل بدلا من OAuth. |
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | SalesforceServiceCloud |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-SalesforceServiceCloud-parser |
| إعدادات التطبيق | |
| مدعوم من قبل | Microsoft |
أحداث الأمان عبر Legacy Agent (Windows)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى عامل Log Analytics (قديم) |
| جدول (جداول) Log Analytics | SecurityEvents |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
لمزيد من المعلومات، انظر:
- Windows مجموعات أحداث الأمان التي يمكن إرسالها إلى Microsoft Sentinel
- إعداد مصنف البروتوكولات غير الآمنة
- أمن Windows الأحداث عبر موصل AMA استنادا إلى عامل Azure Monitor (AMA)
- قم بتكوين موصل أحداث الأمان / أمن Windows الأحداثللكشف عن تسجيل الدخول إلى RDP الشاذ.
SentinelOne (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST تكوين إضافي ل SentinelOne |
| جدول (جداول) Log Analytics | SentinelOne_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-SentinelOneAPI-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | https://<SOneInstanceDomain>.sentinelone.net) |
| وثائق المورد/ إرشادات التثبيت |
<SOneInstanceDomain>https://.sentinelone.net/api-doc/overview |
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | SentinelOne |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-SentinelOneAPI-parser |
| إعدادات التطبيق | |
| مدعوم من قبل | Microsoft |
تكوين إضافي ل SentinelOne
اتبع الإرشادات للحصول على بيانات الاعتماد.
- تسجيل الدخول إلى وحدة تحكم إدارة SentinelOne باستخدام بيانات اعتماد مستخدم المسؤول.
- في وحدة تحكم الإدارة، حدد الإعدادات.
- في طريقة العرض SETTINGS ، حدد USERS
- حدد مستخدم جديد.
- أدخل المعلومات الخاصة بالمستخدم الجديد لوحدة التحكم.
- في Role، حدد Admin.
- حدد SAVE
- احفظ بيانات اعتماد المستخدم الجديد لاستخدامها في موصل البيانات.
جدار حماية SonicWall (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث الشائع (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
سجل > Syslog حدد مرفق local4 وArcSight بتنسيق Syslog. |
| مدعوم من قبل | SonicWall |
Sophos Cloud Optix (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Microsoft Sentinel Data Collector API |
| جدول (جداول) Log Analytics | SophosCloudOptix_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
التكامل مع Microsoft Sentinel، تخطي الخطوة الأولى. نماذج استعلام Sophos |
| مدعوم من قبل | سوفوس |
جدار حماية Sophos XG (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | SophosXGFirewall |
| عنوان URL لدالة Kusto: | https://aka.ms/sentinelgithubparserssophosfirewallxg |
| وثائق المورد/ إرشادات التثبيت |
إضافة خادم syslog |
| مدعوم من قبل | Microsoft |
Squadra Technologies secRMM
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Microsoft Sentinel Data Collector API |
| جدول (جداول) Log Analytics | secRMM_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
دليل مسؤول secRMM Microsoft Sentinel |
| مدعوم من قبل | Squadra Technologies |
وكيل الحبار (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | عامل Log Analytics - سجلات مخصصة |
| جدول (جداول) Log Analytics | SquidProxy_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| الاسم المستعار لدالة Kusto: | SquidProxy |
| عنوان URL لدالة Kusto | https://aka.ms/Sentinel-squidproxy-parser |
| ملف نموذج السجل المخصص: | access.log أو cache.log |
| مدعوم من قبل | Microsoft |
Symantec Integrated Cyber Defense Exchange (ICDx)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Microsoft Sentinel Data Collector API |
| جدول (جداول) Log Analytics | SymantecICDx_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
تكوين معادات توجيه Microsoft Sentinel (تحليلات السجل) |
| مدعوم من قبل | Broadcom Symantec |
Symantec ProxySG (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | SymantecProxySG |
| عنوان URL لدالة Kusto: | https://aka.ms/sentinelgithubparserssymantecproxysg |
| وثائق المورد/ إرشادات التثبيت |
إرسال سجلات الوصول إلى خادم Syslog |
| مدعوم من قبل | Microsoft |
Symantec VIP (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | SymantecVIP |
| عنوان URL لدالة Kusto: | https://aka.ms/sentinelgithubparserssymantecvip |
| وثائق المورد/ إرشادات التثبيت |
تكوين syslog |
| مدعوم من قبل | Microsoft |
خادم سري Thycotic (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث الشائع (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
تسجيل Syslog/CEF الآمن |
| مدعوم من قبل | Thycotic |
Trend Micro Deep Security
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث الشائع (CEF) عبر Syslog، مع محلل دالة Kusto |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | TrendMicroDeepSecurity |
| عنوان URL لدالة Kusto | https://aka.ms/TrendMicroDeepSecurityFunction |
| وثائق المورد/ إرشادات التثبيت |
إعادة توجيه أحداث Deep Security إلى خادم Syslog أو SIEM |
| مدعوم من قبل | Trend Micro |
Trend Micro TippingPoint (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث الشائع (CEF) عبر Syslog، مع محلل دالة Kusto |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | TrendMicroTippingPoint |
| عنوان URL لدالة Kusto | https://aka.ms/Sentinel-trendmicrotippingpoint-function |
| وثائق المورد/ إرشادات التثبيت |
إرسال رسائل Syslog بتنسيق ArcSight CEF Format v4.2. |
| مدعوم من قبل | Trend Micro |
Trend Micro Vision One (XDR) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST |
| جدول (جداول) Log Analytics | TrendMicro_XDR_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | النشر بنقرة واحدة عبر قالب Azure Resource Manager (ARM) |
| مدعوم من قبل | Trend Micro |
VMware Carbon Black Endpoint Standard (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST |
| جدول (جداول) Log Analytics | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/sentinelcarbonblackazurefunctioncode |
| بيانات اعتماد واجهة برمجة التطبيقات | مستوى الوصول إلى واجهة برمجة التطبيقات (لسجلات التدقيقوالأحداث ): مستوى وصول SIEM (لأحداث الإعلام ): |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| إعدادات التطبيق | https://<API URL>.conferdeploy.net.) |
| مدعوم من قبل | Microsoft |
VMware ESXi (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | VMwareESXi |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-vmwareesxi-parser |
| وثائق المورد/ إرشادات التثبيت |
تمكين syslog على ESXi 3.5 و4.x تكوين Syslog على مضيفي ESXi |
| مدعوم من قبل | Microsoft |
WatchGuard Firebox (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | syslog |
| جدول (جداول) Log Analytics | syslog |
| دعم DCR | تحويل مساحة العمل DCR |
| الاسم المستعار لدالة Kusto: | WatchGuardFirebox |
| عنوان URL لدالة Kusto: | https://aka.ms/Sentinel-watchguardfirebox-parser |
| وثائق المورد/ إرشادات التثبيت |
دليل تكامل Microsoft Sentinel |
| مدعوم من قبل | تقنيات WatchGuard |
منصة WireX Network Forensics (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تنسيق الحدث الشائع (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
اتصل بدعم WireX لتكوين حل NFP لإرسال رسائل Syslog بتنسيق CEF. |
| مدعوم من قبل | أنظمة WireX |
Windows خادم DNS (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى عامل Log Analytics (قديم) |
| جدول (جداول) Log Analytics | DnsEvents DnsInventory |
| دعم DCR | تحويل مساحة العمل DCR |
| مدعوم من قبل | Microsoft |
استكشاف أخطاء موصل بيانات خادم DNS Windows وإصلاحها
إذا لم تظهر أحداث DNS في Microsoft Sentinel:
- تأكد من تمكين سجلات تحليلات DNS على خوادمك.
- انتقل إلى Azure DNS Analytics.
- في منطقة التكوين ، قم بتغيير أي من الإعدادات واحفظ التغييرات. قم بتغيير الإعدادات مرة أخرى إذا كنت بحاجة إلى ذلك، ثم احفظ التغييرات مرة أخرى.
- تحقق من Azure DNS Analytics للتأكد من عرض الأحداث والاستعلامات بشكل صحيح.
لمزيد من المعلومات، راجع جمع رؤى حول البنية الأساسية ل DNS باستخدام حل معاينة تحليلات DNS.
Windows الأحداث التي تمت إعادة توجيهها (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى عامل Azure Monitor إرشادات إضافية لنشر Windows موصل الأحداث التي تمت إعادة توجيهها |
| المتطلبات الأساسية | يجب أن يكون لديك Windows مجموعة الأحداث (WEC) ممكنة وتشغيلها. تثبيت عامل Azure Monitor على جهاز WEC. |
| بادئة استعلامات xPath | "ForwardedEvents!*" |
| جدول (جداول) Log Analytics | أحداث Windows |
| دعم DCR | DCR قياسي |
| مدعوم من قبل | Microsoft |
إرشادات إضافية لنشر Windows موصل الأحداث التي تمت إعادة توجيهها
نوصي بتثبيت محللات نموذج معلومات الأمان المتقدمة (ASIM) لضمان الدعم الكامل لتطبيع البيانات. يمكنك نشر هذه المحللات من Azure-Sentinel مستودع GitHub باستخدام الزر Deploy to Azure هناك.
جدار حماية نظام Windows
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى عامل Log Analytics (قديم) |
| جدول (جداول) Log Analytics | WindowsFirewall |
| مدعوم من قبل | Microsoft |
أمن Windows الأحداث عبر AMA
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | تكامل خدمة إلى خدمة Azure: الاتصالات المستندة إلى عامل Azure Monitor |
| بادئة استعلامات xPath | "الأمان!*" |
| جدول (جداول) Log Analytics | SecurityEvents |
| دعم DCR | DCR قياسي |
| مدعوم من قبل | Microsoft |
راجع أيضا: أحداث الأمان عبر موصل العامل القديم .
تكوين أحداث الأمان / أمن Windows موصل الأحداث للكشف عن تسجيل الدخول إلى RDP الشاذ
هام
الكشف عن تسجيل الدخول إلى RDP الشاذ حاليا في المعاينة العامة. يتم توفير هذه الميزة دون اتفاقية مستوى الخدمة، ولا يوصى بها لأحمال عمل الإنتاج. لمزيد من المعلومات، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.
يمكن ل Microsoft Sentinel تطبيق التعلم الآلي (ML) على بيانات أحداث الأمان لتحديد نشاط تسجيل الدخول غير المألوف لبروتوكول سطح المكتب البعيد (RDP). تتضمن السيناريوهات ما يلي:
IP غير عادي - نادرا ما تمت ملاحظة عنوان IP أو لم تتم ملاحظته في آخر 30 يوما
الموقع الجغرافي غير العادي - نادرا ما تمت ملاحظة عنوان IP والمدينة والبلد وASN في آخر 30 يوما أو لم تتم ملاحظته أبدا
مستخدم جديد - يسجل مستخدم جديد الدخول من عنوان IP وموقع جغرافي، ولم يكن من المتوقع رؤية كليهما أو أي منهما استنادا إلى بيانات من 30 يوما قبل ذلك.
إرشادات التكوين
يجب أن تقوم بجمع بيانات تسجيل الدخول إلى RDP (معرف الحدث 4624) من خلال أحداث الأمان أو أمن Windows موصلات بيانات الأحداث. تأكد من تحديد مجموعة أحداث إلى جانب "بلا"، أو إنشاء قاعدة تجميع بيانات تتضمن معرف الحدث هذا، للبث إلى Microsoft Sentinel.
من مدخل Microsoft Sentinel، حدد Analytics، ثم حدد علامة التبويب Rule templates . اختر (معاينة) قاعدة الكشف عن تسجيل الدخول إلى RDP الشاذة ، ثم انقل شريط تمرير الحالة إلى ممكن.
ملاحظة
نظرا لأن خوارزمية التعلم الآلي تتطلب بيانات بقيمة 30 يوما لإنشاء ملف تعريف أساسي لسلوك المستخدم، يجب السماح بجمع بيانات أحداث أمن Windows لمدة 30 يوما قبل الكشف عن أي حوادث.
مكان العمل من Facebook (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST تكوين خطافات الويب إضافة عنوان URL لرد الاتصال إلى تكوين Webhook |
| جدول (جداول) Log Analytics | Workplace_Facebook_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-WorkplaceFacebook-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | Workplace_Facebook |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-WorkplaceFacebook-parser |
| إعدادات التطبيق | |
| مدعوم من قبل | Microsoft |
تكوين خطافات الويب
- سجل الدخول إلى Workplace باستخدام بيانات اعتماد مستخدم المسؤول.
- في لوحة Admin، حدد Integrations.
- في طريقة عرض جميع عمليات التكامل ، حدد إنشاء تكامل مخصص.
- أدخل الاسم والوصف وحدد إنشاء.
- في لوحة تفاصيل التكامل ، اعرض سر التطبيق وانسخه.
- في لوحة أذونات التكامل ، قم بتعيين كافة أذونات القراءة. راجع صفحة الأذونات للحصول على التفاصيل.
إضافة عنوان URL لرد الاتصال إلى تكوين Webhook
- افتح صفحة Function App، وانتقل إلى قائمة Functions ، وحدد Get Function URL، وانسخه.
- ارجع إلى Workplace من Facebook. في لوحة Configure webhooks ، في كل علامة تبويب، قم بتعيين عنوان URL لرد الاتصال كعنون URL للدالة الذي نسخته في الخطوة الأخيرة، والرمز المميز Verify بنفس القيمة التي تلقيتها أثناء النشر التلقائي، أو تم إدخاله أثناء النشر اليدوي.
- حدد حفظ.
Zimperium Mobile Thread Defense (معاينة)
يربط موصل بيانات Zimperium Mobile Threat Defense سجل تهديدات Zimperium ب Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. يمنحك هذا الموصل المزيد من التفاصيل حول مشهد التهديد المحمول لمؤسستك ويعزز قدرات عملية الأمان الخاصة بك.
لمزيد من المعلومات، راجع الاتصال Zimperium إلى Microsoft Sentinel.
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Microsoft Sentinel Data Collector API تكوين وتوصيل Zimperium MTD |
| جدول (جداول) Log Analytics | ZimperiumThreatLog_CL ZimperiumMitigationLog_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| وثائق المورد/ إرشادات التثبيت |
مدخل دعم عملاء Zimperium (مطلوب تسجيل الدخول) |
| مدعوم من قبل | Zimperium |
تكوين وتوصيل Zimperium MTD
- في zConsole، حدد Manage على شريط التنقل.
- حدد علامة التبويب Integrations .
- حدد الزر Threat Reporting ثم زر Add Integrations .
- إنشاء التكامل:
- من عمليات التكامل المتوفرة، حدد Microsoft Sentinel.
- أدخل معرف مساحة العملوالمفتاح الأساسي، وحدد التالي.
- املأ اسما لتكامل Microsoft Sentinel.
- حدد مستوى عامل التصفية لبيانات التهديد التي ترغب في دفعها إلى Microsoft Sentinel.
- اختر إنهاء.
تقارير التكبير/التصغير (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Azure Functions وواجهة برمجة تطبيقات REST |
| جدول (جداول) Log Analytics | Zoom_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| التعليمات البرمجية لتطبيق Azure Function | https://aka.ms/Sentinel-ZoomAPI-functionapp |
| بيانات اعتماد واجهة برمجة التطبيقات | |
| وثائق المورد/ إرشادات التثبيت |
|
| إرشادات نشر الموصل | |
| الاسم المستعار لدالة Kusto | تكبير |
| عنوان URL لدالة Kusto/ إرشادات تكوين المحلل |
https://aka.ms/Sentinel-ZoomAPI-parser |
| إعدادات التطبيق | |
| مدعوم من قبل | Microsoft |
Zscaler
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | Common Event Format (CEF) عبر Syslog |
| جدول (جداول) Log Analytics | CommonSecurityLog |
| دعم DCR | تحويل مساحة العمل DCR |
| وثائق المورد/ إرشادات التثبيت |
دليل نشر Zscaler وMicrosoft Sentinel |
| مدعوم من قبل | Zscaler |
Zscaler Private Access (ZPA) (معاينة)
| سمة الموصل | الوصف |
|---|---|
| طريقة استيعاب البيانات | عامل Log Analytics - سجلات مخصصة تكوين إضافي ل Zscaler Private Access |
| جدول (جداول) Log Analytics | ZPA_CL |
| دعم DCR | غير مدعوم في الوقت الحالي |
| الاسم المستعار لدالة Kusto: | ZPAEvent |
| عنوان URL لدالة Kusto | https://aka.ms/Sentinel-zscalerprivateaccess-parser |
| وثائق المورد/ إرشادات التثبيت |
وثائق Zscaler Private Access انظر أدناه أيضا |
| مدعوم من قبل | Microsoft |
تكوين إضافي ل Zscaler Private Access
اتبع خطوات التكوين أدناه للحصول على سجلات Zscaler Private Access في Microsoft Sentinel. لمزيد من المعلومات، راجع وثائق Azure Monitor. يتم تسليم سجلات Zscaler Private Access عبر خدمة دفق السجل (LSS). راجع وثائق LSS للحصول على معلومات مفصلة.
تكوين مستلمي السجل. أثناء تكوين "جهاز استقبال السجل"، اختر JSONكقالب سجل.
قم بتنزيل ملف التكوين zpa.conf.
wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.confسجل الدخول إلى الخادم حيث قمت بتثبيت عامل Azure Log Analytics.
انسخ zpa.conf إلى المجلد /etc/opt/microsoft/omsagent/
workspace_id/conf/omsagent.d/ .تحرير zpa.conf كما يلي:
- حدد المنفذ الذي قمت بتعيين Zscaler Log Receivers الخاص بك لإعادة توجيه السجلات إلى (السطر 4)
- استبدل
workspace_idبالقيمة الحقيقية لمعرف مساحة العمل (الأسطر 14,15,16,19)
احفظ التغييرات ثم أعد تشغيل عامل Azure Log Analytics لخدمة Linux باستخدام الأمر التالي:
sudo /opt/microsoft/omsagent/bin/service_control restart
يمكنك العثور على قيمة معرف مساحة العمل في صفحة موصل ZScaler Private Access أو في صفحة إدارة وكلاء مساحة عمل Log Analytics.
الخطوات التالية
لمزيد من المعلومات، انظر: