توصيل مصادر البيانات ب Microsoft Sentinel باستخدام موصلات البيانات

لتوصيل مصادر البيانات ب Microsoft Sentinel، تحتاج إلى تثبيت موصلات البيانات وتكوينها. توضح هذه المقالة بشكل عام كيفية تثبيت موصلات البيانات المتوفرة في مركز محتوى Microsoft Sentinel لاستيعاب البيانات وتحليلها لتحسين اكتشاف التهديدات.

• موصلات بيانات Microsoft Sentinel
• البحث عن موصل بيانات Microsoft Sentinel
• اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

Prerequisites

قبل البدء، تأكد من أن لديك حق الوصول المناسب وقم أنت أو شخص ما في مؤسستك بتثبيت الحل ذي الصلة.

• يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.
• قم بتثبيت الحل الذي يتضمن موصل البيانات من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

تمكين موصل البيانات

بعد أن تقوم أنت أو شخص ما في مؤسستك بتثبيت الحل الذي يتضمن موصل البيانات الذي تحتاجه، قم بتكوين موصل البيانات لبدء استيعاب البيانات.

1. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حددموصلات بيانات>>. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن التكوين، حدد موصلات البيانات.

2. ابحث عن الموصل وحدده. إذا كنت لا ترى موصل البيانات الذي تريده، فتحقق مرة أخرى من تثبيت الحل ذي الصلة في مركز المحتوى.

3. حدد فتح صفحة الموصل.

   مدخل Defender

   

   مدخل Microsoft Azure

   

4. راجع المتطلبات الأساسية لموصل البيانات وتأكد من استيفاؤها.

5. اتبع الخطوات الموضحة في قسم التكوينات لموصل البيانات الخاص بك.

   بالنسبة لبعض الموصلات، ابحث عن معلومات تكوين أكثر تحديدا في قسم تجميع البيانات في وثائق Microsoft Sentinel.

   • توصيل Microsoft Sentinel بخدمات Azure وWindows وMicrosoft وAmazon
   • المتطلبات الأساسية لموصل البيانات

تكوين استبقاء البيانات ووضعها في المستويات

إذا قمت بالإعداد إلى مستودع بيانات Microsoft Sentinel، فيمكنك تكوين الاحتفاظ بالبيانات ووضعها في طبقات لموصل البيانات. تتكون مستودع البيانات من طبقة تحليلات - مساحات عمل Microsoft Sentinel الحالية، وطبقة مستودع بيانات حيث يمكنك تخزين البيانات لمدة تصل إلى 12 عاما. لمزيد من المعلومات حول الإعداد، راجع إلحاق مستودع بيانات Microsoft Sentinel.

عند تمكين موصل، يتم إرسال البيانات بشكل افتراضي إلى طبقة التحليلات وعكسها في طبقة مستودع البيانات. تكوين استبقاء البيانات في كل طبقة أو إرسال البيانات فقط إلى طبقة مستودع البيانات. تتم إدارة الاستبقاء والطبقات من صفحات إعداد الموصل، أو باستخدام صفحة إدارة الجدول في مدخل Defender. لمزيد من المعلومات حول إدارة الجدول والاحتفاظ به، راجع إدارة مستويات البيانات والاحتفاظ بها في مدخل Microsoft Defender.

بمجرد إعداد الموصل، قم بتكوين استبقاء البيانات وتدرجاتها باستخدام الخطوات التالية:

1. في صفحة تفاصيل الموصل ، في قسم إدارة الجدول ، حدد الجدول الذي تريد إدارته.

   

2. يتم عرض لوحة الجدول التي تعرض إعدادات الاستبقاء الحالية.

3. لتكوين الاستبقاء، حدد إدارة الجدول.

4. يتم عرض لوحة إدارة الجدول ، وتعرض إعدادات الاستبقاء الحالية. يمكنك تغيير إعدادات الاستبقاء لطبقة التحليلات وطبقة مستودع البيانات. الإعداد الافتراضي هو عكس البيانات إلى طبقة مستودع البيانات بنفس الاحتفاظ كطبقة التحليلات.

5. ضمن الاحتفاظ بالبيانات في "إحصاءات Google"، اختر فترة الاحتفاظ بالبيانات لمستوى التحليلات.

6. لتكوين طبقة مستودع البيانات، حدد فترة استبقاء من القائمة المنسدلة إجمالي الاستبقاء .

7. لتغيير الطبقة إلى مستودع البيانات فقط، حدد طبقة مستودع البيانات وحدد فترة استبقاء من القائمة المنسدلة Retention . يؤدي تحديد هذا الخيار إلى إيقاف المزيد من الاستيعاب إلى مستوى التحليلات.

8. حدد حفظ لحفظ التغييرات.

بعد تكوين موصل البيانات، قد يستغرق إدخال البيانات في Microsoft Sentinel بعض الوقت. يستغرق استيعاب البيانات في مستودع البيانات من 90 إلى 120 دقيقة. عند توصيل موصل البيانات، سترى ملخصا للبيانات في الرسم البياني للبيانات المستلمة ، وحالة الاتصال لأنواع البيانات.

العثور على بياناتك

بعد تمكين الموصل بنجاح، يبدأ الموصل في دفق البيانات إلى مخططات الجدول المتعلقة وأنواع البيانات التي قمت بتكوينها.

في مدخل Defender، استعلم عن البيانات في صفحة التتبع المتقدم ، أو في مدخل Microsoft Azure، استعلم عن البيانات في صفحة السجلات .
انتقل إلى مستكشف مستودع البيانات ، واستعلامات KQL للاستعلام عن البيانات في مستودع البيانات. لمزيد من المعلومات، راجع KQL ومستودع بيانات Microsoft Sentinel.

البحث عن دعم لموصل بيانات

تُنشئ Microsoft والمؤسسات الأخرى موصلات بيانات Microsoft Azure Sentinel. ابحث عن جهة اتصال الدعم من صفحة موصل البيانات في Microsoft Sentinel.

1. في صفحة موصلات بيانات Microsoft Sentinel، حدد الموصل ذي الصلة.

2. للوصول إلى الدعم والصيانة للموصل، استخدم ارتباط جهة اتصال الدعم في الحقل مدعوم من قبل على اللوحة الجانبية للموصل.

   

لمزيد من المعلومات، راجع دعم موصل البيانات.

المحتوى ذو الصلة

لمزيد من المعلومات حول الحلول وموصلات البيانات في Microsoft Sentinel، راجع المقالات التالية.

• موصلات بيانات Microsoft Sentinel
• البحث عن موصل بيانات Microsoft Sentinel
• توصيل Microsoft Sentinel بخدمات Azure وWindows وMicrosoft وAmazon
• ما هي بحيرة بيانات Microsoft Sentinel؟
• الإعداد إلى مستودع بيانات Microsoft Sentinel
• إدارة مستويات البيانات والاحتفاظ بها في مدخل Microsoft Defender.
• KQL وبحيرة بيانات Microsoft Sentinel
• دفاتر ملاحظات Jupyter ومستودع بيانات Microsoft Sentinel