مشاركة عبر

دفق التنبيهات إلى حلول المراقبة

  • مقالة

يتمتع Microsoft Defender for Cloud بالقدرة على دفق تنبيهات الأمان إلى مختلف حلول إدارة معلومات الأمان والأحداث (SIEM) والاستجابة التلقائية لتنسيق الأمان (SOAR) وإدارة خدمة تكنولوجيا المعلومات (ITSM). يتم إنشاء تنبيهات الأمان عند الكشف عن التهديدات على مواردك. يحدد Defender for Cloud الأولوية للتنبيهات ويسردها في صفحة التنبيهات، بالإضافة إلى المعلومات الإضافية اللازمة للتحقيق في المشكلة بسرعة. يتم توفير خطوات مفصلة لمساعدتك في معالجة التهديد المكتشف. يتم الاحتفاظ بجميع بيانات التنبيهات لمدة 90 يوما.

هناك أدوات Azure مضمنة متوفرة تضمن إمكانية عرض بيانات التنبيه في الحلول التالية:

  • Microsoft Sentinel
  • Splunk Enterprise وSplunk Cloud
  • Power BI
  • ServiceNow
  • IBM's QRadar
  • شبكات Palo Alto
  • ArcSight

دفق التنبيهات إلى Defender XDR باستخدام Defender XDR API

Defender for Cloud يتكامل أصلا مع Microsoft Defender XDR يسمح لك باستخدام أحداث Defender XDR وتنبيهات API لدفق التنبيهات والحوادث في حلول غير Microsoft. يمكن لعملاء Defender for Cloud الوصول إلى واجهة برمجة تطبيقات واحدة لجميع منتجات أمان Microsoft ويمكنهم استخدام هذا التكامل كطريقة أسهل لتصدير التنبيهات والحوادث.

تعرف على كيفية دمج أدوات SIEM مع Defender XDR.

دفق التنبيهات إلى Microsoft Azure Sentinel

يتكامل Defender for Cloud في الأصل مع حل SIEM وSOAR الأصلي على السحابة من Microsoft Sentinel Azure.

موصلات Microsoft Azure Sentinel لـ Defender for Cloud

يتضمن Microsoft Sentinel موصلات مضمنة ل Microsoft Defender for Cloud على مستويات الاشتراك والمستأجر.

يمكنك:

عند توصيلك Defender for Cloud بـ Microsoft Sentinel، تُزامن حالة تنبيهات Defender for Cloud المستوعبة فيMicrosoft Azure Sentinel بين الخدمتين. على سبيل المثال، عند إغلاق تنبيه في Defender for Cloud، يظهر هذا التنبيه أيضا على أنه مغلق في Microsoft Sentinel. عند تغيير حالة تنبيه في Defender for Cloud، يتم أيضا تحديث حالة التنبيه في Microsoft Sentinel. ومع ذلك، لا يتم تحديث حالات أي حوادث Microsoft Sentinel تحتوي على تنبيه Microsoft Sentinel المتزامن.

يمكنك تمكين ميزة مزامنة التنبيه ثنائي الاتجاه لمزامنة حالة تنبيهات Defender for Cloud الأصلية تلقائيا مع أحداث Microsoft Sentinel التي تحتوي على نسخ من تنبيهات Defender for Cloud. على سبيل المثال، عند إغلاق حدث Microsoft Sentinel الذي يحتوي على تنبيه Defender for Cloud، يقوم Defender for Cloud تلقائيا بإغلاق التنبيه الأصلي المقابل.

تعرف على كيفية توصيل التنبيهات من Microsoft Defender for Cloud.

تكوين استيعاب جميع سجلات التدقيق في Microsoft Azure Sentinel

يمثل دفق سجلات التدقيق إلى Microsoft Azure Sentinell بديل آخر لفحص تنبيهات Defender for Cloud فيMicrosoft Azure Sentinel:

تلميح

يفوتر Microsoft Azure Sentinel استناداً إلى حجم البيانات التي يستوعبها للتحليل فيه وتخزينها في مساحة عمل Microsoft Azure Monitor Log Analytics. يقوم Microsoft Azure Sentinel بتقديم نموذج تسعير مرن ويمكن التنبؤ به. تعرف على المزيد في صفحة أسعارMicrosoft Azure Sentinel.

دفق التنبيهات إلى QRadar وSplunk

لتصدير تنبيهات الأمان إلى Splunk وQRadar، تحتاج إلى استخدام مراكز الأحداث وموصل مضمن. يمكنك إما استخدام برنامج PowerShell النصي أو مدخل Microsoft Azure لإعداد متطلبات تصدير تنبيهات الأمان لاشتراكك أو مستأجرك. بمجرد أن تكون المتطلبات في مكانها الصحيح، تحتاج إلى استخدام الإجراء الخاص بكل SIEM لتثبيت الحل في النظام الأساسي SIEM.

المتطلبات الأساسية

قبل إعدادك لخدمات Azure لتصدير التنبيهات، تأكد من امتلاكك:

  • اشتراك Azure (أنشئ حساب مجاني)
  • مجموعة موارد Azure (أنشئ مجموعة موارد)
  • دور المالك في نطاق التنبيهات (الاشتراك أو مجموعة الإدارة أو المستأجر)، أو هذه الأذونات المحددة:
    • كتابة أذونات لمراكز الأحداث ونهج مراكز الأحداث
    • إنشاء أذونات لتطبيقات Microsoft Entra، إذا كنت لا تستخدم تطبيق Microsoft Entra موجود
    • تعيين أذونات للنهج، في حال استخدامك نهج Azure "DeployIfNotExist"

إعداد خدمة Azure

يمكنك إعداد بيئة Azure لدعم التصدير المستمر باستخدام إما:

  1. تنزيل برنامج PowerShell النصي وتشغيله.

  2. أدخل المعلمات المطلوبة.

  3. باشر تنفيذ البرنامج النصي.

ينفذ البرنامج النصي جميع الخطوات نيابة عنك. عند انتهاء البرنامج النصي، استخدم الإخراج لتثبيت الحل في النظام الأساسي SIEM.

مدخل Azure

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. ابحث عن وحدد Event Hubs.

  3. إنشاء مساحة اسم مراكز الأحداث ومركز الأحداث.

  4. تعريف نهج لمركز الأحداث مع Send الأذونات.

إذا كنت تقوم ببث التنبيهات إلى QRadar:

  1. إنشاء نهج مركز Listen الحدث.

  2. انسخ سلسلة الاتصال النهج المراد استخدامه في QRadar واحفظه.

  3. إنشاء مجموعة مستهلكين.

  4. انسخ الاسم واحفظه لاستخدامه في النظام الأساسي SIEM.

  5. مكن التصدير المستمر لتنبيهات الأمان إلى مركز الأحداث المحدد.

  6. قم بإنشاء حساب تخزين.

  7. انسخ سلسلة الاتصال واحفظها في الحساب لاستخدامها في QRadar.

للاطلاع على إرشادات أكثر تفصيلا، راجع إعداد موارد Azure للتصدير إلى Splunk وQRadar.

في حال دفقك للتنبيهات إلى Splunk:

  1. إنشاء تطبيق Microsoft Entra.

  2. احفظ المستأجر ومعرف التطبيق وكلمة مرور التطبيق.

  3. امنح أذونات لتطبيق Microsoft Entra للقراءة من مركز الأحداث الذي أنشأته من قبل.

للاطلاع على إرشادات أكثر تفصيلا، راجع إعداد موارد Azure للتصدير إلى Splunk وQRadar.

توصيل مركز الأحداث بالحل المفضل لديك باستخدام الموصلات المضمنة

تتضمن كل منصة لإدارة معلومات الأمان والأحداث على حدة أداة لتمكينها من تلقي التنبيهات من مراكز الأحداث. ثبت الأداة لنظامك الأساسي لبدء تلقي التنبيهات.

أداة مستضاف في Azure ‏‏الوصف
IBM QRadar لا يمكن تنزيل كلٍ من Microsoft Azure DSM وبروتوكول مراكز الأحداث من موقع دعم IBM.
Splunk لا المكون الإضافي Splunk للخدمات السحابية من Microsoft عبارة عن مشروع مفتوح المصدر متاح في Splunkbase.

في حال عدم تمكنك من تركيب المكون الإضافي في مثيل Splunk الخاص بك، فعلى سبيل المثال، في حال استخدامك وكيلاً أو تشغيلك لـ Splunk Cloud، يمكنك إعادة توجيه هذه الأحداث إلى مجمع أحداث بروتوكول نقل نص تشعبي الخاص بـ Splunk باستخدام Azure Function For Splunk، المُشغل برسائل جديدة في مركز الأحداث.

دفق التنبيهات مع التصدير المستمر

لدفق التنبيهات إلى ArcSight وSumoLogic وخوادم Syslog وLogRhythm Logz.io Cloud Observability Platform وحلول المراقبة الأخرى، قم بتوصيل Defender for Cloud باستخدام التصدير المستمر ومراكز أحداث Azure.

إشعار

لدفق التنبيهات على مستوى المستأجر، استخدم نهج Azure المُشار إليه وعين النطاق في مجموعة إدارة الجذر. ستحتاج إلى أذونات لمجموعة إدارة الجذر على النحو الموضح في أذونات Defender for Cloud: توزيع التصدير إلى مركز أحداث لتنبيهات Microsoft Defender for Cloud وتوصياته.

لدفق التنبيهات مع التصدير المستمر:

  1. تمكين التصدير المستمر:

  2. توصيل مركز الأحداث بالحل المفضل لديك باستخدام الموصلات المضمنة:

    أداة مستضاف في Azure ‏‏الوصف
    SumoLogic لا تتوفر إرشادات لإعداد SumoLogic لاستهلاك البيانات من مركز أحداث في تجميع السجلات لتطبيق Azure Audit من مركز الأحداث.
    ArcSight لا يتوفر الموصل الذكي لمراكز أحداث ArcSight كجزء من مجموعة الموصل الذكي لـ ArcSight Azure.
    خادم Syslog لا إذا كنت تريد بثّ بيانات Azure Monitor مباشرةً إلى خادم Syslog، فيمكنك استخدام حل يستند إلى دالة Azure.
    LogRhythm لا يمكن الاطلاع على إرشادات لإعداد LogRhythm لجمع السجلات من مركز الأحداث من هنا.
    Logz.io ‏‏نعم‬ للحصول على مزيدٍ من المعلومات، راجع البدء في المراقبة والتسجيل باستخدام Logz.io لتطبيقات Java التي تعمل على Azure.

  3. (اختياري) دفق السجلات الأولية إلى مركز الأحداث والاتصال بالحل المفضل لديك. تعرف على المزيد في مراقبة البيانات المتاحة.

لعرض مخططات الأحداث لأنواع البيانات المصدرة، زر مخططات أحداث مراكز الأحداث.

استخدام واجهة برمجة تطبيقات الأمان Microsoft Graph لدفق التنبيهات إلى تطبيقات غير تابعة ل Microsoft

تكامل Defender for Cloud المضمن مع Microsoft Graph واجهة برمجة تطبيقات الأمان دون الحاجة إلى أي متطلبات تكوين إضافية.

يمكنك استخدام واجهة برمجة التطبيقات هذه لدفق التنبيهات من المستأجر بأكمله (والبيانات من العديد من منتجات Microsoft Security) إلى أنظمة SIEMs غير التابعة ل Microsoft والأنظمة الأساسية الشائعة الأخرى:

إشعار

الطريقة المفضلة لتصدير التنبيهات هي من خلال تصدير بيانات Microsoft Defender for Cloud باستمرار.

الخطوات التالية

وضحت هذه الصفحة كيفية التأكد من توفر بيانات تنبيه Microsoft Defender for Cloud في أداة إدارة معلومات الأمان والأحداث أو والاستجابة التلقائية لتنسيق الأمان أو وإدارة خدمة تكنولوجيا المعلومات التي تختارها. للاطلاع على المواد ذات الصلة، انظر: