مشاركة عبر

توصيل نظام أساسي التحليل الذكي للمخاطرات الخاصة بك بـ Microsoft Azure Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Note

This data connector will be deprecated and will stop collecting data in April 2026. نوصي بالانتقال إلى موصل بيانات واجهة برمجة تطبيقات تحميل مؤشرات التحليل الذكي للمخاطر الجديد في أقرب وقت ممكن لضمان جمع البيانات دون انقطاع. لمزيد من المعلومات، راجع توصيل النظام الأساسي للتحليل الذكي للمخاطر ب Microsoft Sentinel باستخدام واجهة برمجة تطبيقات التحميل.

تستخدم العديد من المؤسسات حلول النظام الأساسي للمعلومات الذكية للمخاطر (TIP) لتجميع موجزات مؤشرات التهديد من مصادر مختلفة. من الموجز المجمع، يتم تنسيق البيانات لتطبيقها على حلول الأمان مثل أجهزة الشبكة أو حلول EDR/XDR أو معلومات الأمان وحلول إدارة الأحداث (SIEM) مثل Microsoft Sentinel. باستخدام موصل بيانات TIP، يمكنك استخدام هذه الحلول لاستيراد مؤشرات التهديد إلى Microsoft Sentinel.

نظرا لأن موصل بيانات TIP يعمل مع واجهة برمجة تطبيقات Microsoft Graph Security tiIndicators لإنجاز هذه العملية، يمكنك استخدام الموصل لإرسال مؤشرات إلى Microsoft Sentinel (وإلى حلول أمان Microsoft الأخرى مثل Defender XDR) من أي تلميح مخصص آخر يمكنه الاتصال بواجهة برمجة التطبيقات هذه.

لقطة شاشة تعرض مسار استيراد التحليل الذكي للمخاطر.

Note

للحصول على معلومات حول توفر الميزات في سحابات حكومة الولايات المتحدة، راجع جداول Microsoft Sentinel في توفر ميزات السحابة لعملاء حكومة الولايات المتحدة.

Learn more about threat intelligence in Microsoft Sentinel, and specifically about the TIP products that you can integrate with Microsoft Sentinel.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

Prerequisites

  • To install, update, and delete standalone content or solutions in the Content hub, you need the Microsoft Sentinel Contributor role at the resource group level.
  • لمنح أذونات لمنتج TIP أو أي تطبيق مخصص آخر يستخدم التكامل المباشر مع Microsoft Graph TI Indicators API، يجب أن يكون لديك دور مسؤول الأمان Microsoft Entra أو الأذونات المكافئة.
  • لتخزين مؤشرات التهديد، يجب أن يكون لديك أذونات القراءة والكتابة إلى مساحة عمل Microsoft Sentinel.

Instructions

لاستيراد مؤشرات التهديد إلى Microsoft Sentinel من TIP المتكامل أو حل التحليل الذكي للمخاطر المخصص، اتبع الخطوات التالية:

  1. الحصول على معرف التطبيق وسر العميل من معرف Microsoft Entra.
  2. أدخل هذه المعلومات في حل TIP أو التطبيق المخصص.
  3. تمكين موصل بيانات TIP في Microsoft Sentinel.

التسجيل للحصول على معرف تطبيق وسر العميل من Microsoft Entra ID

سواء كنت تعمل مع TIP أو حل مخصص، تتطلب واجهة برمجة تطبيقات tiIndicators بعض المعلومات الأساسية للسماح لك بتوصيل الموجز الخاص بك به وإرسال مؤشرات التهديد إليه. المعلومات الثلاث التي تحتاجها هي:

  • معرف التطبيق (العميل)
  • معرف الدليل (المستأجر)
  • Client secret

يمكنك الحصول على هذه المعلومات من معرف Microsoft Entra من خلال تسجيل التطبيق، والذي يتضمن الخطوات الثلاث التالية:

  • تسجيل تطبيق باستخدام معرف Microsoft Entra.
  • حدد الأذونات المطلوبة من قبل التطبيق للاتصال بواجهة برمجة تطبيقات Microsoft Graph tiIndicators وإرسال مؤشرات التهديد.
  • احصل على موافقة من مؤسستك لمنح هذه الأذونات لهذا التطبيق.

تسجيل تطبيق باستخدام معرف Microsoft Entra

  1. في مدخل Microsoft Azure، انتقل إلى معرف Microsoft Entra.

  2. On the menu, select App Registrations, and then select New registration.

  3. Choose a name for your application registration, select Single tenant, and then select Register.

    لقطة شاشة تظهر تسجيل تطبيق.

  4. على الشاشة التي تفتح، انسخ قيم معرف التطبيق (العميل)ومعرف الدليل (المستأجر ). تحتاج إلى هاتين الجزئتين من المعلومات لاحقا لتكوين TIP أو الحل المخصص لإرسال مؤشرات التهديد إلى Microsoft Sentinel. الجزء الثالث من المعلومات التي تحتاجها، سر العميل، يأتي لاحقا.

حدد الأذونات المطلوبة من قبل التطبيق

  1. ارجع إلى الصفحة الرئيسية لمعرف Microsoft Entra.

  2. On the menu, select App Registrations, and then select your newly registered app.

  3. On the menu, select API Permissions>Add a permission.

  4. في صفحة Select an API ، حدد Microsoft Graph API. ثم اختر من قائمة أذونات Microsoft Graph.

  5. في المطالبة ما نوع الأذونات التي يتطلبها تطبيقك؟، حدد أذونات التطبيق. هذا الإذن هو النوع المستخدم من قبل التطبيقات التي تصادق مع معرف التطبيق وأسرار التطبيق (مفاتيح API).

  6. Select ThreatIndicators.ReadWrite.OwnedBy, and then select Add permissions to add this permission to your app's list of permissions.

    لقطة شاشة تعرض تحديد الأذونات.

  1. لمنح الموافقة، يلزم وجود دور متميز. لمزيد من المعلومات، راجع منح موافقة المسؤول على مستوى المستأجر على أحد التطبيقات.

    لقطة شاشة تظهر منح الموافقة.

  2. After consent is granted to your app, you should see a green check mark under Status.

بعد تسجيل التطبيق ومنح الأذونات، تحتاج إلى الحصول على سر العميل لتطبيقك.

  1. ارجع إلى الصفحة الرئيسية لمعرف Microsoft Entra.

  2. On the menu, select App Registrations, and then select your newly registered app.

  3. في القائمة، حدد Certificates & secrets. ثم حدد سر عميل جديد لتلقي سر (مفتاح API) لتطبيقك.

    لقطة شاشة تظهر الحصول على سر العميل.

  4. Select Add, and then copy the client secret.

    Important

    يجب نسخ سر العميل قبل مغادرة هذه الشاشة. لا يمكنك استرداد هذا السر مرة أخرى إذا ذهبت بعيدا عن هذه الصفحة. تحتاج إلى هذه القيمة عند تكوين TIP أو الحل المخصص.

أدخل هذه المعلومات في حل TIP أو التطبيق المخصص

لديك الآن جميع أجزاء المعلومات الثلاثة التي تحتاجها لتكوين TIP أو الحل المخصص لإرسال مؤشرات التهديد إلى Microsoft Sentinel:

  • معرف التطبيق (العميل)
  • معرف الدليل (المستأجر)
  • Client secret

أدخل هذه القيم في تكوين TIP المتكامل أو الحل المخصص عند الحاجة.

  1. For the target product, specify Azure Sentinel. (Specifying Microsoft Sentinel results in an error.)

  2. For the action, specify alert.

بعد الانتهاء من التكوين، يتم إرسال مؤشرات التهديد من TIP أو الحل المخصص، من خلال واجهة برمجة تطبيقات Microsoft Graph tiIndicators، المستهدفة في Microsoft Sentinel.

تمكين موصل بيانات TIP في Microsoft Sentinel

الخطوة الأخيرة في عملية التكامل هي تمكين موصل بيانات TIP في Microsoft Sentinel. تمكين الموصل هو ما يسمح لـ Microsoft Azure Sentinel بتلقي مؤشرات التهديد المرسلة من TIP أو الحل المخصص. تتوفر هذه المؤشرات لجميع مساحات عمل Microsoft Sentinel لمؤسستك. لتمكين موصل بيانات TIP لكل مساحة عمل، اتبع الخطوات التالية:

  1. For Microsoft Sentinel in the Azure portal, under Content management, select Content hub.
    For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Content management>Content hub.

  2. Find and select the Threat Intelligence solution.

  3. Select the Install/Update button.

    لمزيد من المعلومات حول كيفية إدارة مكونات الحل، راجع اكتشاف المحتوى الجاهز ونشره.

  4. To configure the TIP data connector, select Configuration>Data connectors.

  5. ابحث عن الأنظمة الأساسية للتحلال الذكي للمخاطر وحددها - موصل بيانات مهمل ، ثم حدد فتح صفحة الموصل.

  6. Because you already finished the app registration and configured your TIP or custom solution to send threat indicators, the only step left is to select Connect.

في غضون بضع دقائق، يجب أن تبدأ مؤشرات التهديد بالتدفق إلى مساحة عمل Microsoft Azure Sentinel. You can find the new indicators on the Threat intelligence pane, which you can access from the Microsoft Sentinel menu.

Related content

في هذه المقالة، تعلمت كيفية توصيل تلميحك ب Microsoft Sentinel باستخدام أسلوب في مسار الإهمال. لتوصيل تلميحك باستخدام الأسلوب الموصى به، راجع توصيل تلميحك بواجهة برمجة تطبيقات التحميل.

  • Last updated on