موصلات بيانات Microsoft Azure Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

بعد إلحاق Microsoft Sentinel بمساحة العمل الخاصة بك، استخدم موصلات البيانات لبدء استيعاب بياناتك في Microsoft Sentinel. يأتي Microsoft Sentinel مع العديد من الموصلات الجاهزة خدمات Microsoft، والتي تتكامل في الوقت الفعلي. على سبيل المثال، موصل Microsoft Defender XDR هو موصل خدمة إلى خدمة يدمج البيانات من Office 365 ومعرف Microsoft Entra وMicrosoft Defender for Identity وMicrosoft Defender for Cloud Apps.

تمكن الموصلات المضمنة الاتصال بالنظام البنائي للأمان الأوسع للمنتجات غير التابعة ل Microsoft. على سبيل المثال، استخدم Syslog أو Common Event Format (CEF) أو REST APIs لتوصيل مصادر البيانات الخاصة بك ب Microsoft Sentinel.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

هام

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

موصلات البيانات المقدمة مع الحلول

توفر حلول Microsoft Sentinel محتوى أمان مجمع، بما في ذلك موصلات البيانات والمصنفات وقواعد التحليلات ودلائل المبادئ والمزيد. عند توزيع حل مع موصل بيانات، يمكنك الحصول على موصل البيانات مع المحتوى ذي الصلة في نفس التوزيع.

تسرد صفحة موصلات بيانات Microsoft Sentinel موصلات البيانات المثبتة أو قيد الاستخدام.

مدخل Microsoft Azure

مدخل Defender

لإضافة المزيد من موصلات البيانات، قم بتثبيت الحل المقترن بموصل البيانات من مركز المحتوى. لمزيد من المعلومات، راجع المقالات التالية:

• البحث عن موصل بيانات Microsoft Azure Sentinel
• بشأن محتوى وحلول Microsoft Sentinel
• اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته
• كتالوج مركز محتوى Microsoft Sentinel
• حلول المجال المستندة إلى نموذج معلومات الأمان المتقدم (ASIM) ل Microsoft Sentinel

تكامل واجهة برمجة تطبيقات REST لموصلات البيانات

توفر العديد من تقنيات الأمان مجموعة من واجهات برمجة التطبيقات لاسترداد ملفات السجل. يمكن لبعض مصادر البيانات استخدام واجهات برمجة التطبيقات هذه للاتصال ب Microsoft Sentinel.

موصلات البيانات التي تستخدم واجهات برمجة التطبيقات إما تتكامل من جانب الموفر أو تتكامل باستخدام Azure Functions، كما هو موضح في الأقسام التالية.

التكامل على جانب الموفر

يتصل تكامل واجهة برمجة التطبيقات الذي أنشأه الموفر بمصادر بيانات الموفر ويدفع البيانات إلى جداول السجل المخصصة ل Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Azure Monitor Data Collector. لمزيد من المعلومات، راجع إرسال بيانات السجل إلى Azure Monitor باستخدام واجهة برمجة تطبيقات HTTP Data Collector.

للتعرف على تكامل REST API، اقرأ وثائق الموفر وقم بتوصيل مصدر البيانات بواجهة برمجة تطبيقات REST لـ Microsoft Sentinel لاستيعاب البيانات.

التكامل باستخدام Azure Functions

تتصل عمليات التكامل التي تستخدم Azure Functions بواجهة برمجة تطبيقات الموفر بتنسيق البيانات أولاً، ثم إرسالها إلى جداول السجل المخصصة لـ Microsoft Azure Sentinel باستخدام واجهة برمجة تطبيقات مُجمع البيانات Azure Monitor.

لمزيد من المعلومات، راجع:

• إرسال بيانات السجل إلى Azure Monitor باستخدام واجهة برمجة تطبيقات HTTP Data Collector
• استخدام Azure Functions لتوصيل مصدر البيانات ب Microsoft Sentinel
• وثائق Azure Functions

قد يكون للتكاملات التي تستخدم Azure Functions تكاليف استيعاب بيانات إضافية، لأنك تستضيف Azure Functions في مؤسسة Azure. تعرّف على المزيد حول أسعار دوال Azure.

التكامل المستند إلى العامل لموصلات البيانات

يمكن لـ Microsoft Sentinel استخدام بروتوكول Syslog لتوصيل عامل بأي مصدر بيانات يمكنه إجراء دفق السجل في الوقت الحقيقي. على سبيل المثال، تتصل معظم مصادر البيانات المحلية باستخدام التكامل المستند إلى العامل.

تصف الأقسام التالية الأنواع المختلفة من موصلات البيانات المستندة إلى عامل Microsoft Azure Sentinel. لتكوين الاتصالات باستخدام الآليات المستندة إلى العامل، اتبع الخطوات الموجودة في كل صفحة موصل بيانات Microsoft Sentinel.

Syslog

يمكنك دفق الأحداث من أجهزة تدعم Syslog المستندة إلى Linux إلى Microsoft Sentinel باستخدام عامل Azure Monitor (AMA). اعتماداً على نوع الجهاز، يُثبت العامل إما مباشرة على الجهاز، أو على معيد توجيه سجل مخصص يستند إلى Linux. يتلقى AMA الأحداث من البرنامج الخفي Syslog عبر UDP. يقوم البرنامج الخفي Syslog بإعادة توجيه الأحداث إلى العامل داخليا، ويتواصل عبر UDS (مآخذ مجال Unix). ثم يرسل AMA هذه الأحداث إلى مساحة عمل Microsoft Sentinel.

فيما يلي تدفق بسيط يوضح كيفية تدفق Microsoft Sentinel لبيانات Syslog.

1. يجمع برنامج Syslog الخفي المضمن للجهاز الأحداث المحلية للأنواع المحددة، ويحيل الأحداث محليا إلى العامل.
2. يقوم العامل ببث الأحداث إلى مساحة عمل Log Analytics.
3. بعد التكوين الناجح، تظهر البيانات في جدول سجل التحليلات Syslog.

لمزيد من المعلومات، راجع البرنامج التعليمي: إعادة توجيه بيانات Syslog إلى مساحة عمل Log Analytics باستخدام Microsoft Sentinel باستخدام عامل Azure Monitor.

تنسيق الحدث العام (CEF)

تختلف تنسيقات السجل، ولكن العديد من المصادر تدعم التنسيق المستند إلى CEF. عامل Microsoft Azure Sentinel بالفعل هو وكيل Log Analytics، يحول سجلات CEF المنسقة إلى تنسيق يمكن استيعابه بواسطة Log Analytics.

بالنسبة لمصادر البيانات التي تصدر البيانات في CEF، أعد عامل Syslog ثم كوّن تدفق بيانات CEF. بعد التكوين الناجح، تظهر البيانات في جدول CommonSecurityLog.

لمزيد من المعلومات، راجع الحصول على سجلات بتنسيق CEF من جهازك أو جهازك إلى Microsoft Sentinel.

سجلات مخصصة

بالنسبة لبعض مصادر البيانات، يمكنك جمع السجلات كملفات على أجهزة كمبيوتر Windows أو Linux باستخدام عامل جمع السجل المخصص Log Analytics.

للاتصال باستخدام عامل جمع السجل المخصص Log Analytics، اتبع الخطوات الموجودة في كل صفحة موصل بيانات Microsoft Sentinel. بعد التكوين الناجح، تظهر البيانات في جداول مخصصة.

لمزيد من المعلومات، راجع جمع البيانات بتنسيقات السجل المخصصة إلى Microsoft Azure Sentinel باستخدام عامل Log Analytics.

تكامل الخدمة إلى الخدمة لموصلات البيانات

يستخدم Microsoft Sentinel أساس Azure لتوفير دعم الخدمة إلى الخدمة الجاهزة لخدمات الويب خدمات Microsoft وAmazon.

لمزيد من المعلومات، راجع المقالات التالية:

• قم بتوصيل Microsoft Sentinel إلى خدمات Azure وWindows وMicrosoft وAmazon
• البحث عن موصل بيانات Microsoft Azure Sentinel

دعم موصل البيانات

تُنشئ Microsoft والمؤسسات الأخرى موصلات بيانات Microsoft Azure Sentinel. يحتوي كل موصل بيانات على أحد أنواع الدعم التالية المدرجة في صفحة موصل البيانات في Microsoft Sentinel.

نوع الدعم	‏‏الوصف
مدعوم من Microsoft	ينطبق على: موصلات البيانات لمصادر البيانات حيث Microsoft هو موفر البيانات والمؤلفات. بعض موصلات البيانات التي تُنشئها Microsoft لمصادر بيانات غير تابعة لـ Microsoft. تدعم Microsoft موصلات البيانات في هذه الفئة وتحافظ عليها وفقا لخطط دعم Microsoft Azure. يدعم الشركاء أو موصلات بيانات المجتمع التي تم تأليفها من قبل أي طرف آخر غير Microsoft.
Partner-supported	ينطبق على موصلات البيانات التي أُنشئت بواسطة أطراف أخرى غير Microsoft. توفر الشركة الشريكة الدعم أو الصيانة لموصلات البيانات هذه. يمكن أن تكون الشركة الشريكة مورد برامج مستقل أو موفر خدمة مُدارة (MSP/MSSP) أو مؤسسة تكامل الأنظمة (SI) أو أي مؤسسة تتوفر معلومات الاتصال بها على صفحة Microsoft Azure Sentinel لموصل البيانات هذا. أي مشكلات في موصل بيانات مدعوم من الشريك، اتصل بجهة اتصال دعم موصل البيانات المحددة.
Community-supported	ينطبق على موصلات البيانات التي تم تأليفها من قبل Microsoft أو مطوري الشركاء الذين ليس لديهم جهات اتصال مدرجة لدعم موصل البيانات وصيانته على صفحة موصل البيانات في Microsoft Sentinel. بالنسبة للأسئلة أو المشكلات المتعلقة بموصلات البيانات هذه، يمكنك تقديم مشكلة في مجتمع Microsoft Azure Sentinel GitHub.

لمزيد من المعلومات، راجع البحث عن دعم لموصل بيانات.

الخطوات التالية

لمزيد من المعلومات حول موصلات البيانات، راجع المقالات التالية.

• الاتصال مصادر البيانات إلى Microsoft Sentinel باستخدام موصلات البيانات
• البحث عن موصل بيانات Microsoft Azure Sentinel
• موارد لإنشاء موصلات مخصصة ل Microsoft Sentinel

للحصول على مرجع أساسي للبنية الأساسية كتعليق برمجي (IaC) ل Bicep وAzure Resource Manager وTerraform لنشر موصلات البيانات في Microsoft Sentinel، راجع مرجع IaC لموصل بيانات Microsoft Sentinel.