إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يستعرض هذا القسم أفضل الممارسات لجمع البيانات باستخدام موصلات البيانات Microsoft Sentinel. لمزيد من المعلومات، راجع توصيل مصادر البياناتومرجع موصلات البيانات Microsoft Sentinelوكتالوج حلول Microsoft Sentinel.
تحديد أولويات موصلات البيانات
تعرف على كيفية تحديد أولويات موصلات البيانات كجزء من عملية توزيع Microsoft Sentinel.
تصفية سجلاتك قبل الاستيعاب
قد تحتاج إلى تصفية السجلات التي تم جمعها، أو حتى محتوى السجل، قبل استيعاب البيانات في Microsoft Sentinel. على سبيل المثال، قد ترغب في تصفية السجلات غير ذات الصلة أو غير ذات الصلة بعمليات الأمان، أو قد ترغب في إزالة التفاصيل غير المرغوب فيها من رسائل السجل. قد تكون تصفية محتوى الرسالة مفيدة أيضا عند محاولة خفض التكاليف عند العمل مع سجلات Syslog أو CEF أو Windows التي تحتوي على العديد من التفاصيل غير ذات الصلة.
تصفية سجلاتك باستخدام إحدى الطرق التالية:
عامل Azure Monitor. مدعوم على كل من Windows Linux لاستيعاب أحداث أمان Windows. قم بتصفية السجلات التي تم جمعها عن طريق تكوين العامل لتجميع الأحداث المحددة فقط.
Logstash. يدعم تصفية محتوى الرسالة، بما في ذلك إجراء تغييرات على رسائل السجل. لمزيد من المعلومات، راجع الاتصال مع Logstash.
هام
سيؤدي استخدام Logstash لتصفية محتوى الرسالة إلى استيعاب سجلاتك كسجلات مخصصة، مما يتسبب في أن تصبح أي سجلات من الطبقة المجانية سجلات ذات طبقة مدفوعة.
تحتاج السجلات المخصصة أيضا إلى العمل في قواعد التحليلاتوتعقب التهديداتوالمصنفات، حيث لا تتم إضافتها تلقائيا. السجلات المخصصة أيضا غير مدعومة حاليا لقدرات التعلم الآلي .
متطلبات استيعاب البيانات البديلة
قد لا يعمل تكوين Standard لجمع البيانات بشكل جيد لمؤسستك، بسبب تحديات مختلفة. تصف الجداول التالية التحديات أو المتطلبات الشائعة والحلول والاعتبارات المحتملة.
ملاحظة
تتطلب العديد من الحلول المدرجة في الأقسام التالية موصل بيانات مخصصا. لمزيد من المعلومات، راجع الموارد لإنشاء موصلات مخصصة Microsoft Sentinel.
مجموعة سجلات Windows المحلية
| التحدي / المتطلب | الحلول الممكنة | الاعتبارات |
|---|---|---|
| يتطلب تصفية السجل | استخدام Logstash استخدام وظائف Azure استخدام LogicApps استخدام التعليمات البرمجية المخصصة (.NET، Python) |
على الرغم من أن التصفية يمكن أن تؤدي إلى توفير التكاليف، وتدمج البيانات المطلوبة فقط، فإن بعض ميزات Microsoft Sentinel غير مدعومة، مثل UEBAوصفحات الكيانوالتعلم الآليوالدمج. عند تكوين تصفية السجل، قم بإجراء تحديثات في موارد مثل استعلامات تتبع التهديدات وقواعد التحليلات. |
| تعذر تثبيت العامل | استخدام إعادة توجيه أحداث Windows، المدعومة مع عامل Azure Monitor | يؤدي استخدام إعادة توجيه أحداث Windows إلى خفض أحداث موازنة التحميل في الثانية من Windows Event Collector، من 10000 حدث إلى 500-1000 حدث. |
| لا تتصل الخوادم بالإنترنت | استخدام بوابة Log Analytics | يتطلب تكوين وكيل لعاملك قواعد جدار حماية إضافية للسماح للبوابة بالعمل. |
| يتطلب وضع العلامات والإثراء عند الاستيعاب | استخدام Logstash لإدخال ResourceID استخدام قالب ARM لإدخال ResourceID في الأجهزة المحلية استيعاب معرف المورد في مساحات عمل منفصلة |
لا يدعم Log Analytics التحكم في الوصول استنادا إلى الدور (RBAC) للجداول المخصصة. لا يدعم Microsoft Sentinel التحكم في الوصول استنادا إلى الدور على مستوى الصف. تلميح: قد ترغب في اعتماد تصميم مساحة العمل المشتركة ووظائفها Microsoft Sentinel. |
| يتطلب عملية التقسيم وسجلات الأمان | استخدام وظيفة Microsoft Monitor Agent أو Azure Monitor Agent متعددة المنازل | تتطلب الوظائف متعددة المنازل المزيد من النفقات العامة للتوزيع للعامل. |
| يتطلب سجلات مخصصة | جمع الملفات من مسارات مجلد معينة استخدام استيعاب واجهة برمجة التطبيقات استخدام PowerShell استخدام Logstash |
قد تواجه مشكلات في تصفية سجلاتك. الأساليب المخصصة غير مدعومة. قد تتطلب الموصلات المخصصة مهارات المطور. |
مجموعة سجل Linux المحلية
| التحدي / المتطلب | الحلول الممكنة | الاعتبارات |
|---|---|---|
| يتطلب تصفية السجل | استخدام Syslog-NG استخدام Rsyslog استخدام تكوين FluentD للعامل استخدام عامل مراقبة Azure/عامل مراقبة Microsoft استخدام Logstash |
قد لا يدعم العامل بعض توزيعات Linux. يتطلب استخدام Syslog أو FluentD معرفة المطور. لمزيد من المعلومات، راجع الاتصال بخوادم Windows لجمع أحداث الأمانوالموارد لإنشاء موصلات مخصصة Microsoft Sentinel. |
| تعذر تثبيت العامل | استخدم معاد توجيه Syslog، مثل (syslog-ng أو rsyslog. | |
| لا تتصل الخوادم بالإنترنت | استخدام بوابة Log Analytics | يتطلب تكوين وكيل لعاملك قواعد جدار حماية إضافية للسماح للبوابة بالعمل. |
| يتطلب وضع العلامات والإثراء عند الاستيعاب | استخدم Logstash للإثراء أو الأساليب المخصصة، مثل واجهة برمجة التطبيقات أو مراكز الأحداث. | قد يكون لديك جهد إضافي مطلوب للتصفية. |
| يتطلب عملية التقسيم وسجلات الأمان | استخدم عامل Azure Monitor مع التكوين متعدد التوجيه. | |
| يتطلب سجلات مخصصة | إنشاء مجمع مخصص باستخدام عامل Microsoft Monitoring (Log Analytics). |
حلول نقطة النهاية
إذا كنت بحاجة إلى جمع السجلات من حلول نقطة النهاية، مثل EDR وأحداث الأمان الأخرى وSysmon وما إلى ذلك، فاستخدم إحدى الطرق التالية:
- Microsoft Defender XDR الموصل لجمع السجلات من Microsoft Defender لنقطة النهاية. يتحمل هذا الخيار تكاليف إضافية لاستيعاب البيانات.
- إعادة توجيه أحداث Windows.
ملاحظة
تقتطع موازنة التحميل الأحداث في الثانية التي يمكن معالجتها إلى مساحة العمل.
بيانات Office
إذا كنت بحاجة إلى جمع بيانات Microsoft Office، خارج بيانات الموصل القياسية، فاستخدم أحد الحلول التالية:
| التحدي / المتطلب | الحلول الممكنة | الاعتبارات |
|---|---|---|
| جمع البيانات الأولية من Teams وتتبع الرسائل وبيانات التصيد الاحتيالي وما إلى ذلك | استخدم وظيفة موصل Office 365 المضمنة، ثم قم بإنشاء موصل مخصص للبيانات الأولية الأخرى. | قد يكون تعيين الأحداث إلى recordID المقابل أمرا صعبا. |
| يتطلب التحكم في الوصول استنادا إلى الدور لتقسيم البلدان/المناطق والأقسام وما إلى ذلك | قم بتخصيص جمع البيانات عن طريق إضافة علامات إلى البيانات وإنشاء مساحات عمل مخصصة لكل فصل مطلوب. | جمع البيانات المخصصة له تكاليف استيعاب إضافية. |
| يتطلب مستأجرين متعددين في مساحة عمل واحدة | تخصيص جمع البيانات باستخدام Azure LightHouse وعرض موحد للحوادث. | جمع البيانات المخصصة له تكاليف استيعاب إضافية. لمزيد من المعلومات، راجع توسيع Microsoft Sentinel عبر مساحات العمل والمستأجرين. |
بيانات النظام الأساسي السحابي
| التحدي / المتطلب | الحلول الممكنة | الاعتبارات |
|---|---|---|
| تصفية السجلات من الأنظمة الأساسية الأخرى | استخدام Logstash استخدام عامل Azure Monitor / عامل مراقبة Microsoft (Log Analytics) |
تحتوي المجموعة المخصصة على تكاليف استيعاب إضافية. قد تواجه تحديا يتمثل في جمع جميع أحداث Windows مقابل أحداث الأمان فقط. |
| لا يمكن استخدام العامل | استخدام إعادة توجيه أحداث Windows | قد تحتاج إلى تحميل جهود موازنة التحميل عبر مواردك. |
| الخوادم في شبكة مكيفة الهواء | استخدام بوابة Log Analytics | يتطلب تكوين وكيل لعاملك قواعد جدار الحماية للسماح للبوابة بالعمل. |
| التحكم في الوصول استنادا إلى الدور ووضع العلامات والإثراء عند الاستيعاب | إنشاء مجموعة مخصصة عبر Logstash أو واجهة برمجة تطبيقات Log Analytics. | التحكم في الوصول استنادا إلى الدور غير مدعوم للجداول المخصصة التحكم في الوصول استنادا إلى الدور على مستوى الصف غير مدعوم لأي جداول. |
المحتويات ذات الصلة
لمزيد من المعلومات، اطلع على: