إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تسلط هذه المقالة الضوء على مصادر السجل للنظر في التكوين كطبقة مستودع بيانات فقط عند تمكين موصل. قبل اختيار طبقة لتكوين جدول معين لها، تحقق من المستوى الأنسب لحالة الاستخدام الخاصة بك. لمزيد من المعلومات حول فئات البيانات طبقات البيانات، راجع خطط استبقاء السجل في Microsoft Sentinel.
Important
يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.
بعد 31 مارس 2027، لن يكون Microsoft Sentinel مدعوما في بوابة Azure وسيكون متاحا فقط في بوابة Microsoft Defender. جميع العملاء الذين يستخدمون مايكروسوفت سينتينل في بوابة Azure سيتم تحويلهم إلى بوابة المدافعين وسيستخدمون مايكروسوفت سينتينل فقط في بوابة المدافعين. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
سجلات الوصول إلى التخزين لموفري الخدمات السحابية
يمكن أن توفر سجلات الوصول إلى التخزين مصدرًا ثانويًا للمعلومات للتحقيقات التي تنطوي على كشف بيانات حساسة لأطراف غير مصرح لها. من الممكن أن تساعدك هذه السجلات في تحديد المشكلات المتعلقة بأذونات النظام أو المستخدم الممنوحة للبيانات.
يسمح لك العديد من موفري الخدمات السحابية بتسجيل كافة الأنشطة. يمكنك استخدام هذه السجلات للبحث عن نشاط غير عادي أو غير مصرح به، أو للتحقيق في الاستجابة لحادث ما.
سجلات NetFlow
تستخدم سجلات NetFlow لفهم اتصالات الشبكة داخل البنية الأساسية الخاصة بك، وبين البنية الأساسية والخدمات الأخرى عبر الإنترنت. في معظم الأحيان، يمكنك استخدام هذه البيانات للتحقيق في نشاط الأوامر والتحكم لأنه يتضمن عناوين IP المصدر والوجهة والمنافذ. استخدم بيانات التعريف التي يوفرها NetFlow لمساعدتك على تجميع معلومات عن المتطفل على الشبكة.
سجلات تدفق VPC لموفري الخدمات السحابية
أصبحت لسجلات تدفق السحابة الخاصة الظاهرية (VPC) أهمية كبيرة في التحقيقات الأمنية وتتبع التهديدات. عندما تقوم المؤسسات بتشغيل بيئات سحابية، يحتاج متتبعي التهديدات إلى أن يكونوا قادرين على فحص تدفقات الشبكة بين السحب ببعضها أو بين السحب ونقاط النهاية.
سجلات مراقبة شهادة TLS/SSL
كانت سجلات مراقبة شهادات TLS/SSL ذات صلة كبيرة في الهجمات الإلكترونية الأخيرة ذات الأهمية العالية. في حين أن مراقبة شهادة TLS/SSL ليست مصدرًا شائعًا للسجلات، فإن السجلات توفر بيانات قيّمة للعديد من أنواع الهجمات التي تتضمن الشهادات. فهي تساعدك على معرفة مصدر الشهادة:
- فإن كان موقعًا ذاتيًا
- طريقة الإنشاء
- في حال إن أُصدرت الشهادة من مصدر معتمد
سجلات الوكيل
تحتفظ العديد من الشبكات بوكيل ظاهر لتوفير رؤية نسبة استخدام الشبكة للمستخدمين الداخليين. تحتوي سجلات خادم الوكيل على الطلبات التي قام بها المستخدمون والتطبيقات على شبكة محلية. تحتوي هذه السجلات أيضًا على طلبات تطبيق أو خدمة تم إجراؤها عبر الإنترنت، مثل تحديثات التطبيق. كما يعتمد ما تم تسجيله على الجهاز أو الحل. ولكن غالبًا ما توفر السجلات:
- Date
- Time
- Size
- والمضيف الداخلي الذي قدم الطلب
- وما طلبه المضيف
عندما تستعلم عن الشبكة للتحقيق، يمكن أن يكون تداخل بيانات سجل الوكيل موردًا ذا قيمة.
سجلات جدار الحماية
غالبًا ما تكون سجلات أحداث جدار الحماية هي أهم مصادر سجل الشبكة لتتبع التهديدات والتحقيقات الأمنية. يمكن أن تكشف سجلات أحداث جدار الحماية عن عمليات نقل الملفات الكبيرة بشكل غير اعتيادي، وحجم وتكرار الاتصال من قبل المضيف، ومحاولات اتصال الفحص، ومسح المنفذ. سجلات جدار الحماية مفيدة أيضًا لأنها تعد مصدر بيانات لمختلف تقنيات التتبع غير المنظمة، مثل تكديس المنافذ المؤقتة، أو تكوين أنظمة المجموعات بأنماط اتصال مختلفة وتجميعها.
سجلات إنترنت الأشياء
مصدر جديد ومتزايد لبيانات السجل هو الأجهزة المتصلة بإنترنت الأشياء (IoT). يمكن أن تسجل أجهزة IoT نشاطها الخاص أو بيانات أداة الاستشعار أو كلاهما التي سجلها الجهاز. يمثل ظهور IoT للتحقيقات الأمنية وتتبع التهديدات تحديًا كبيرًا. تحفظ عمليات توزيع IoT المتقدمة بيانات السجل في خدمة سحابية مركزية مثل Azure.