مشاركة عبر

إلحاق Microsoft Sentinel

في هذا التشغيل السريع، ستقوم بتمكين Microsoft Sentinel وتثبيت حل من مركز المحتوى. بعد ذلك، ستقوم بإعداد موصل بيانات لبدء استيعاب البيانات في Microsoft Sentinel.

يأتي Microsoft Sentinel مزودا بالعديد من موصلات البيانات لمنتجات Microsoft مثل موصل خدمة إلى خدمة Microsoft Defender XDR. يمكنك أيضا تمكين الموصلات المضمنة للمنتجات غير التابعة ل Microsoft مثل Syslog أو Common Event Format (CEF). لهذا التشغيل السريع، ستستخدم موصل بيانات نشاط Azure المتوفر في حل نشاط Azure ل Microsoft Sentinel.

للإلحاق ب Microsoft Sentinel باستخدام واجهة برمجة التطبيقات، راجع أحدث إصدار مدعوم من حالات إلحاق Sentinel.

Prerequisites

إنشاء مساحة عمل Log Analytics

يجب إضافة Microsoft Sentinel إلى مساحة عمل. إذا كان لديك بالفعل مساحة عمل Log Analytics، فانتقل إلى إضافة Microsoft Sentinel إلى مساحة عمل Log Analytics. إذا لم يكن لديك مساحة عمل Log Analytics بالفعل، فيمكنك إنشاء مساحة عمل باستخدام الإرشادات أدناه، أو للحصول على شرح أكثر تفصيلا، انتقل إلى إنشاء مساحة عمل Log Analytics. لمزيد من المعلومات حول مساحات عمل Log Analytics، راجع تصميم نشر سجلات مراقب Azure .

بشكل افتراضي، مدة استبقاء البيانات 30 يومًا في مساحة عمل Log Analytics المستخدمة لـ Microsoft Sentinel. للتأكد من إمكانية استخدام جميع وظائف Microsoft Sentinel وميزاتها، زِد مدة استبقاء البيانات لتصل إلى 90 يومًا. تكوين نُهج استبقاء البيانات والأرشفة في Azure Monitor Logs.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن Microsoft Sentinel وحدده.
    لقطة شاشة للبحث عن Microsoft Sentinel وتحديده من مدخل Microsoft Azure.

  3. حدد إنشاء. لقطة شاشة لتحديد إنشاء لبدء إنشاء مساحة عمل Log Analytics جديدة.

  4. حدد إنشاء مساحة عمل جديدة. لقطة شاشة لتحديد إنشاء مساحة عمل جديدة.

  5. ضمنمجموعة موارد>، حدد إنشاء جديد. أدخل اسما لمجموعة الموارد الخاصة بك وحدد موافق. لقطة شاشة لإنشاء شاشة مساحة عمل Log Analytics. ضمن الاشتراك ومجموعة الموارد، يتم تحديد إنشاء جديد.

  6. قم بتسمية مساحة العمل وحدد منطقة، ثم حدد مراجعة + إنشاء. (اطلع على المناطق التي تتوفر فيها Log Analytics.)

  7. بعد انقضاء عملية التحقق من الصحة، حدد إنشاء. انتظر حتى يكتمل النشر.

إضافة Microsoft Sentinel إلى مساحة عمل Log Analytics

  1. من مدخل Microsoft Azure، ابحث عن Microsoft Sentinel وحدده.

  2. حدد إنشاء. لقطة شاشة لتحديد إنشاء لإنشاء مساحة عمل Log Analytics جديدة.

  3. حدد مساحة العمل التي تريد استخدامها وحدد إضافة. يمكنك تشغيل Microsoft Sentinel على أكثر من مساحة عمل واحدة، ولكن يتم عزل البيانات إلى مساحة عمل واحدة.

    • لا تظهر مساحات العمل الافتراضية التي أنشأها Microsoft Defender for Cloud في القائمة. لا يمكنك تركيب Microsoft Sentinel على هذا النوع من مساحات العمل.
    • بمجرد نشرها على مساحة عمل، لا يدعم Microsoft Sentinel نقل مساحة العمل هذه إلى مجموعة موارد أو اشتراك آخر.

Note

إذا لم يتم إلحاق مساحة العمل تلقائيا بمدخل Defender، نوصي بالإلحاق لتجربة موحدة في إدارة عمليات الأمان (SecOps) عبر كل من Microsoft Sentinel وخدمات أمان Microsoft الأخرى. لمزيد من المعلومات، راجع إلحاق Microsoft Sentinel إلى مدخل Defender.

إذا تم إلحاق مساحة العمل تلقائيا، أو إذا قررت إلحاق مساحة العمل الآن، يمكنك متابعة الإجراءات الواردة في هذه المقالة من مدخل Defender. إذا كانت هذه هي المرة الأولى التي تستخدم فيها مدخل Defender، فسيكون هناك تأخير لبضع دقائق أثناء اكتمال العملية.

الوصول إلى Microsoft Sentinel في مدخل Defender

للوصول إلى Microsoft Sentinel في مدخل Defender:

  1. سجل الدخول إلى مدخل Defender.

    في المرة الأولى التي تصل فيها إلى مدخل Defender، سيستغرق توفير المستأجر بعض الوقت.

  2. بمجرد توفيره، سترى Microsoft Sentinel متوفرا في جزء التنقل، مع وجود عقد Microsoft Sentinel متداخلة بداخله. على سبيل المثال:

    لقطة شاشة ل Microsoft Sentinel في مدخل Defender.

  3. مرر لأسفل في جزء التنقل، وحدد الإعدادات > مساحات عمل Microsoft Sentinel > لعرض مساحات العمل المإلحاقة بمدخل Defender والمتاحة لك.

يدعم مدخل Defender مساحات عمل متعددة، مع مساحة عمل واحدة تعمل كمساحة عمل أساسية لكل مستأجر. لمزيد من المعلومات، راجع مساحات عمل متعددة ل Microsoft Sentinel في مدخل Defenderوالإدارة متعددة المستأجرين ل Microsoft Defender.

تثبيت حل من مركز المحتوى

مركز المحتوى في Microsoft Sentinel هو الموقع المركزي لاكتشاف المحتوى الجاهز وإدارته بما في ذلك موصلات البيانات. لهذا التشغيل السريع، قم بتثبيت الحل لنشاط Azure.

  1. في Microsoft Sentinel، استعرض وصولا إلى صفحة مركز المحتوى ، وابحث عن حل Azure Activity وحدده.

  2. في جزء تفاصيل الحل على الجانب، حدد تثبيت.

إعداد موصل البيانات

يقوم Microsoft Sentinel باستيعاب البيانات من الخدمات والتطبيقات عن طريق الاتصال بالخدمة وإعادة توجيه الأحداث والسجلات إلى Microsoft Sentinel. لهذا التشغيل السريع، قم بتثبيت موصل البيانات لإعادة توجيه البيانات لنشاط Azure إلى Microsoft Sentinel.

  1. في Microsoft Sentinel، حددموصلات بيانات> وابحث عن موصل بيانات نشاط Azure وحدده.

  2. في جزء تفاصيل الموصل، حدد فتح صفحة الموصل. استخدم الإرشادات الموجودة في صفحة موصل نشاط Azure لإعداد موصل البيانات.

    1. حدد تشغيل معالج تعيين نهج Azure.

    2. في علامة التبويب الأساسيات ، قم بتعيين النطاق إلى مجموعة الاشتراك والموارد التي لديها نشاط لإرسالها إلى Microsoft Sentinel. على سبيل المثال، حدد الاشتراك الذي يحتوي على مثيل Microsoft Sentinel.

    3. حدد علامة التبويب المعلمات ، وقم بتعيين مساحة عمل تحليلات السجل الأساسي. يجب أن تكون هذه هي مساحة العمل حيث يتم تثبيت Microsoft Sentinel.

    4. حدد Review + create وCreate.

إنشاء بيانات النشاط

دعونا ننشئ بعض بيانات النشاط عن طريق تمكين قاعدة تم تضمينها في حل نشاط Azure ل Microsoft Sentinel. توضح لك هذه الخطوة أيضا كيفية إدارة المحتوى في مركز المحتوى.

  1. في Microsoft Sentinel، حدد مركز المحتوى وابحث عن قالب قاعدة توزيع الموارد المشبوهة وحدده في حل نشاط Azure .

  2. في جزء التفاصيل، حدد إنشاء قاعدة لإنشاء قاعدة جديدة باستخدام معالج قاعدة Analytics.

  3. في معالج قاعدة التحليلات - إنشاء صفحة قاعدة مجدولة جديدة ، قم بتغيير الحالة إلى ممكن.

    في علامة التبويب هذه وكافة علامات التبويب الأخرى في المعالج، اترك القيم الافتراضية كما هي.

  4. في علامة التبويب مراجعة وإنشاء ، حدد إنشاء.

عرض البيانات التي تم استيعابها في Microsoft Sentinel

الآن بعد أن قمت بتمكين موصل بيانات نشاط Azure وإنشاء بعض بيانات النشاط، دعنا نعرض بيانات النشاط المضافة إلى مساحة العمل.

  1. في Microsoft Sentinel، حددموصلات بيانات> وابحث عن موصل بيانات نشاط Azure وحدده.

  2. في جزء تفاصيل الموصل، حدد فتح صفحة الموصل.

  3. راجع حالة موصل البيانات. يجب أن يكون متصلا.

    لقطة شاشة لموصل البيانات لنشاط Azure مع الحالة التي تظهر على أنها متصلة.

  4. حدد علامة تبويب للمتابعة، استنادا إلى المدخل الذي تستخدمه:

    1. حدد Go لتسجيل التحليلات لفتح صفحة التتبع المتقدمة .

    2. في الجزء العلوي من الجزء، بجوار علامة التبويب استعلام جديد ، حدد علامة + التبويب لإضافة استعلام جديد.

    3. قم بتشغيل الاستعلام التالي لعرض تاريخ النشاط الذي تم استيعابه في مساحة العمل:

      AzureActivity

    على سبيل المثال:

    لقطة شاشة لاستعلام AzureActivity في صفحة السجلات في مدخل Defender.

الخطوات التالية

في هذا التشغيل السريع، قمت بتمكين Microsoft Sentinel وتثبيت حل من مركز المحتوى. بعد ذلك، يمكنك إعداد موصل بيانات لبدء استيعاب البيانات في Microsoft Sentinel. لقد تحققت أيضا من أن البيانات يتم استيعابها عن طريق عرض البيانات في مساحة العمل.

إذا كنت عميلا جديدا تم إلحاقه تلقائيا بمدخل Defender، فسيدخل المستخدمون إلى Microsoft Sentinel في مدخل Defender فقط. أثناء استخدام وثائق Microsoft Sentinel، تأكد من تحديد إصدار مدخل Defender للوثائق.

  • Last updated on