أفضل ممارسات جمع البيانات

يراجع هذا القسم أفضل الممارسات لجمع البيانات باستخدام موصلات بيانات Microsoft Azure Sentinel. لمزيد من المعلومات، راجع توصيل مصادر البيانات و مرجع موصلات بيانات Microsoft Azure Sentinel و كتالوج حلول Microsoft Azure Sentinel .

إعطاء الأولوية لموصلات البيانات الخاصة بك

تعرف على كيفية تحديد أولويات موصلات البيانات كجزء من عملية نشر Microsoft Sentinel.

قم بتصفية سجلاتك قبل تناولها

قد ترغب في تصفية السجلات التي تم جمعها، أو حتى تسجيل المحتوى، قبل إدخال البيانات إلى Microsoft Azure Sentinel. على سبيل المثال، قد ترغب في تصفية السجلات غير ذات الصلة أو غير المهمة لعمليات الأمان، أو قد ترغب في إزالة التفاصيل غير المرغوب فيها من رسائل السجل. قد تكون تصفية محتوى الرسالة مفيدة أيضاً عند محاولة خفض التكاليف عند العمل مع سجلات Syslog أو CEF أو المستندة إلى Windows والتي تحتوي على العديد من التفاصيل غير ذات الصلة.

قم بتصفية سجلاتك باستخدام إحدى الطرق التالية:

  • عامل Azure Monitor . مدعوم على كل من Windows وLinux لاستيعاب أحداث أمان Windows . قم بتصفية السجلات التي تم جمعها عن طريق تكوين العامل لجمع الأحداث المحددة فقط.

  • Logstash. يدعم تصفية محتوى الرسالة، بما في ذلك إجراء تغييرات على رسائل السجل. لمزيد من المعلومات، راجع الاتصال بـ Logstash .

هام

سيؤدي استخدام Logstash لتصفية محتوى رسالتك إلى استيعاب سجلاتك كسجلات مخصصة، ما يجعل أي سجلات مجانية تصبح سجلات مدفوعة المستوى.

تحتاج السجلات المخصصة أيضاً إلى العمل في analytics rules وthreat hunting وworkbooks، حيث لا تتم إضافتها تلقائياً. السجلات المخصصة غير مدعومة حالياً لإمكانيات التعلم الآلي .

متطلبات نقل البيانات البديلة

قد لا يعمل التكوين القياسي لجمع البيانات بشكل جيد لمؤسستك، بسبب العديد من التحديات. تصف الجداول التالية التحديات أو المتطلبات الشائعة والحلول والاعتبارات الممكنة.

إشعار

تتطلب العديد من الحلول المدرجة في الأقسام التالية موصل بيانات مخصصا. لمزيد من المعلومات، راجع موارد لإنشاء موصلات Microsoft Azure Sentinel المخصصة .

مجموعة سجلات Windows المحلية

التحدي/المطلب الحلول الممكنة الاعتبارات
يتطلب تصفية السجل استخدام Logstash

استخدام Azure Functions

استخدام LogicApps

استخدام كود مخصص (.NET، Python)
على الرغم من أن التصفية يمكن أن تؤدي إلى توفير التكاليف، وتدمج البيانات المطلوبة فقط، إلا أن بعض ميزات Microsoft Sentinel غير مدعومة، مثل UEBA وصفحات الكيان والتعلم الآلي والاندماج.

عند تكوين تصفية السجل، قم بإجراء تحديثات في موارد مثل استعلامات تتبع التهديدات وقواعد التحليلات
لا يمكن تثبيت العامل استخدم إعادة توجيه أحداث Windows، المدعومة بواسطة عامل مراقب Azure يؤدي استخدام إعادة توجيه أحداث Windows إلى تقليل أحداث موازنة التحميل في الثانية من Windows Event Collector، من 10000 حدث إلى 500-1000 حدث.
الخوادم لا تتصل بالإنترنت استخدم بوابة تحليلات السجل يتطلب تكوين عامل لعاملك قواعد جدار حماية إضافية للسماح للبوابة بالعمل.
يتطلب وضع علامات وإثراء المحتوى عند العرض استخدام Logstash لإدخال ResourceID

استخدام قالب ARM لإدخال ResourceID في الأجهزة المحلية

استيعاب معرّف المورد في مساحات عمل منفصلة
لا يدعم Log Analytics التحكم في الوصول استنادا إلى الدور للجداول المخصصة

لا يدعم Microsoft Sentinel التحكم في الوصول استنادا إلى الدور على مستوى الصف

نصيحة : قد ترغب في اعتماد تصميم ووظائف مساحات العمل المشتركة لـ Microsoft Azure Sentinel.
يتطلب عملية تقسيم وسجلات أمان استخدم وظائف المنازل المتعددة Microsoft Monitor Agent أو Azure Monitor Agent تتطلب وظائف المنازل المتعددة مزيداً من النفقات العامة للتوزيع للعامل.
يتطلب سجلات مخصصة جمع الملفات من مسارات مجلدات معينة

استخدام استيعاب واجهة برمجة التطبيقات

استخدام PowerShell

استخدم Logstash
قد يكون لديك مشاكل في تصفية السجلات الخاصة بك.

الأساليب المخصصة غير مدعومة.

قد تتطلب الموصلات المخصصة مهارات المطور.

مجموعة سجلات Linux المحلية

التحدي/المطلب الحلول الممكنة الاعتبارات
يتطلب تصفية السجل استخدام Syslog-NG

استخدام Rsyslog

استخدام تكوين FluentD للعامل

استخدام عامل Azure Monitor/عامل مراقبة Microsoft

استخدم Logstash
قد لا يدعم العامل بعض توزيعات Linux.

يتطلب استخدام Syslog أو FluentD معرفة المطور.

لمزيد من المعلومات، راجع الاتصال بخوادم Windows لتجميع أحداث الأمان و موارد لإنشاء موصلات Microsoft Azure Sentinel المخصصة .
لا يمكن تثبيت العامل استخدم معيد توجيه Syslog، مثل (syslog-ng أو rsyslog.
الخوادم لا تتصل بالإنترنت استخدم بوابة تحليلات السجل يتطلب تكوين عامل لعاملك قواعد جدار حماية إضافية للسماح للبوابة بالعمل.
يتطلب وضع علامات وإثراء المحتوى عند العرض استخدم Logstash للإثراء أو الأساليب المخصصة، مثل واجهة برمجة التطبيقات أو مراكز الأحداث. قد تحتاج إلى جهد إضافي للتصفية.
يتطلب عملية تقسيم وسجلات أمان استخدم Azure Monitor Agent مع تكوين التوجيه المتعدد.
يتطلب سجلات مخصصة أنشئ مُجمعاً مخصصاً باستخدام عامل Microsoft Monitoring (Log Analytics).

حلول نقطة النهاية

إذا كنت بحاجة إلى جمع السجلات من حلول نقطة النهاية، مثل EDR وأحداث الأمان الأخرى وSysmon وما إلى ذلك، فاستخدم إحدى الطرق التالية:

  • موصل Microsoft Defender XDR لجمع السجلات من Microsoft Defender لنقطة النهاية. يتحمل هذا الخيار تكاليف إضافية لاستيعاب البيانات.
  • إعادة توجيه أحداث Windows .

إشعار

تعمل موازنة التحميل على تقليل الأحداث في الثانية التي يمكن معالجتها في مساحة العمل.

بيانات Office Incentives Program

إذا كنت بحاجة إلى جمع بيانات Microsoft Office، خارج بيانات الموصل القياسية، فاستخدم أحد الحلول التالية:

التحدي/المطلب الحلول الممكنة الاعتبارات
اجمع البيانات الأولية من الفرق وتتبع الرسائل وبيانات التصيد وما إلى ذلك استخدم وظيفة موصل Office 365 المضمنة، ثم أنشئ موصلاً مخصصاً للبيانات الأولية الأخرى. قد يكون تعيين الأحداث إلى RecordID المقابل أمراً صعباً.
يتطلب التحكم في الوصول استنادا إلى الدور لتقسيم البلدان/المناطق والأقسام وما إلى ذلك قم بتخصيص مجموعة البيانات الخاصة بك عن طريق إضافة علامات إلى البيانات وإنشاء مساحات عمل مخصصة لكل فصل مطلوب. جمع البيانات المخصصة له تكاليف استيعاب إضافية.
يتطلب عدة مستأجرين في مساحة عمل واحدة قم بتخصيص مجموعة البيانات الخاصة بك باستخدام Azure LightHouse وطريقة عرض موحد للحوادث. جمع البيانات المخصصة له تكاليف استيعاب إضافية.

لمزيد من المعلومات، راجع توسيع Microsoft Sentinel عبر مساحات العمل والمستأجرين.

بيانات النظام الأساسي السحابي

التحدي/المطلب الحلول الممكنة الاعتبارات
تصفية السجلات من الأنظمة الأساسية الأخرى استخدام Logstash

استخدم عامل المراقبة Azure/عامل المراقبة من Microsoft (تحليلات السجل)
التجميع المخصص له تكاليف استيعاب إضافية.

قد تواجه تحدياً يتمثل في جمع كل أحداث Windows مقابل أحداث الأمان فقط.
لا يمكن استخدام العامل استخدم Windows Event Forwarding قد تحتاج إلى تحميل جهود موازنة عبر مواردك.
الخوادم في شبكة هوائية استخدم بوابة تحليلات السجل يتطلب تكوين عامل لعاملك قواعد جدار الحماية للسماح للبوابة بالعمل.
RBAC، ووضع العلامات، والإثراء عند العرض قم بإنشاء مجموعة مخصصة عبر Logstash أو واجهة برمجة تطبيقات Log Analytics. RBAC غير مدعوم للجداول المخصصة

RBAC على مستوى الصف غير مدعوم لأي جداول.

الخطوات التالية

لمزيد من المعلومات، راجع: