فهم موفري خدمة موصل البيانات

  • 6 دقائق

Microsoft Defender XDR

يوفر موصل بيانات Microsoft Defender XDR تنبيهات وحوادث وبيانات أولية من منتجات Microsoft Defender XDR بما في ذلك (على سبيل المثال لا الحصر):

  • Microsoft Defender لنقطة النهاية

  • Microsoft Defender for Identity

  • Microsoft Defender for Office 365

  • تطبيقات Microsoft Defender للسحابة

خدمات Microsoft Azure

تتضمّن الموصلات المُخصّصة لخدمات Microsoft وAzure (على سبيل المثال وليس الحصر) ما يلي:

  • Microsoft Entra ID

  • Azure Activity

  • حماية معرف Microsoft Entra

  • حماية Azure DDos

  • Microsoft Defender لإنترنت الأشياء

  • حماية البيانات في Azure

  • جدار حماية Azure

  • Microsoft Defender للسحابة

  • Azure Web Application Firewall (WAF) (المعروف سابقًا بـ Microsoft WAF)

  • خادم DNS

  • Office 365

  • جدار حماية Windows

  • أحداث أمنية

موصلات المورد

يزودنا نظام Microsoft Sentinel بقائمة متزايدة من موصلات البيانات الخاصة بالموردين. وتقوم هذه الموصلات باستخدام موصل CEF وSyslog كأساس لها.

تلميح

تذكّر أن تتطّلع على صفحة الموصل لمعرفة «Data Type» (الجدول) الذي يقوم الموصل بالكتابة إليه.

موصلات مُخصّصة باستخدام واجهة برمجة تطبيقات «Log Analytics»

يُمكنك استخدام واجهة برمجة تطبيقات مُجمع البيانات لـ «تحليل السجل» لإرسال بيانات السجل إلى مساحة عمل « تحليل السجل» في نظام Microsoft Sentinel.

المكون الإضافي Logstash

باستخدام المكون الإضافي المسؤول عن الإخراج بنظام Microsoft Sentinel لمحرك مجموعة بيانات Logstash، يُمكنك إرسال أي سجل تريده عبر Logstash مباشرةً إلى مساحة عمل «تحليل السجل» في نظام Microsoft Sentinel. تتم كتابة السجلات في جدول مُخصّص تقوم بتحديده عن طريق استخدام المكون الإضافي المسؤول عن الإخراج.

تنسيق الحدث المشترك وموصل Syslog

إذا لم يقم المورد بتوفير موصل، فإنه يُمكنك استخدام Common Event Format (CEF) العام أو موصل Syslog Connector.

إن Syslog بروتوكول لتسجيل الأحداث ومن الشائع استخدامه في نظام Linux. ترسل التطبيقات رسائل قد يتم تخزينها على الجهاز المحلي أو تسليمها إلى جامع Syslog.

وإن Common Event Format (CEF) هو التنسيق القياسي في المجال ويحتل مرتبة أعلى من رسائل Syslog، حيث يستخدمه العديد من موردي الأمان للسماح بإمكانية التشغيل التفاعلي للأحداث بين الأنظمة الأساسية المختلفة.

Syslog مقابل تنسيق الحدث الشائع

دائمًا ما يكون CEF هو الخيار الأمثل، لأنه يتم توزيع بيانات السجل في حقول مُحددة مسبقًا بجدول «CommonSecurityLog». يزودك Syslog بحقول رأسية، ولكن يتم تخزين رسالة السجل البسيطة في حقل اسمه «SyslogMessage» بجدول Syslog. لكي يتم الاستعلام عن بيانات Syslog، تحتاج إلى كتابة محلل لاستخراج الحقول المحددة. يتم توضيح عملية إنشاء محلل لرسالة Syslog في وحدة نمطية لاحقة.

خيارات هندسة الموصل

لتوصيل CEF أو Syslog Collector ب Microsoft Sentinel، يجب نشر العامل على جهاز Azure ظاهري مخصص (VM) أو نظام محلي لدعم اتصال الجهاز مع Microsoft Sentinel. يمكنك نشر العامل تلقائياً أو يدوياً. لا يتوفر النشر التلقائي إلا إذا كان جهازك المخصص متصلا ب Azure Arc أو كان جهازا ظاهريا في Azure.

يوضح الرسم التخطيطي التالي الأنظمة الداخلية التي ترسل بيانات Syslog إلى Azure VM مخصص يشغل عامل Microsoft Sentinel.

Diagram of Common Event Format architecture using Syslog on a dedicated Azure VM.

بدلاً من ذلك، يمكنك توزيع العامل يدويًا على جهاز Azure ظاهري موجود بالفعل، أو على جهاز ظاهري موجود على سحابة أخرى، أو على جهاز محلي. يوضح الرسم التخطيطي التالي الأنظمة المحلية التي ترسل بيانات Syslog إلى نظام محلي مُخصّص يُشغّل على عامل نظام Microsoft Sentinel.

Diagram of Common Event Format architecture for sending Linux log data using Syslog on a dedicated on-premises system.