موصلات بيانات Microsoft Azure Sentinel

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

بعد إلحاق Microsoft Sentinel بمساحة العمل الخاصة بك، استخدم موصلات البيانات لبدء استيعاب بياناتك في Microsoft Sentinel. يأتي Microsoft Sentinel مع العديد من الموصلات الجاهزة خدمات Microsoft، والتي تتكامل في الوقت الفعلي. على سبيل المثال، موصل Microsoft Defender XDR هو موصل خدمة إلى خدمة يدمج البيانات من Office 365 ومعرف Microsoft Entra وMicrosoft Defender for Identity وMicrosoft Defender for Cloud Apps.

تمكن الموصلات المضمنة الاتصال بالنظام البنائي للأمان الأوسع للمنتجات غير التابعة ل Microsoft. على سبيل المثال، استخدم Syslog أو Common Event Format (CEF) أو REST APIs لتوصيل مصادر البيانات الخاصة بك ب Microsoft Sentinel.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

موصلات البيانات المقدمة مع الحلول

توفر حلول Microsoft Sentinel محتوى أمان مجمع، بما في ذلك موصلات البيانات والمصنفات وقواعد التحليلات ودلائل المبادئ والمزيد. عند توزيع حل مع موصل بيانات، يمكنك الحصول على موصل البيانات مع المحتوى ذي الصلة في نفس التوزيع.

تسرد صفحة موصلات بيانات Microsoft Sentinel موصلات البيانات المثبتة أو قيد الاستخدام.

مدخل Microsoft Azure

مدخل Defender

لإضافة المزيد من موصلات البيانات، قم بتثبيت الحل المقترن بموصل البيانات من مركز المحتوى. لمزيد من المعلومات، راجع المقالات التالية:

• البحث عن موصل بيانات Microsoft Azure Sentinel
• بشأن محتوى وحلول Microsoft Sentinel
• اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته
• كتالوج مركز محتوى Microsoft Sentinel
• حلول المجال المستندة إلى نموذج معلومات الأمان المتقدم (ASIM) ل Microsoft Sentinel

تكامل واجهة برمجة تطبيقات REST لموصلات البيانات

توفر العديد من حلول الأمان مجموعة من واجهات برمجة التطبيقات لاسترداد ملفات السجل وبيانات الأمان الأخرى من منتجها أو خدمتها. تتصل واجهات برمجة التطبيقات هذه ب Microsoft Sentinel بإحدى الطرق التالية:

• يتم تكوين واجهات برمجة تطبيقات مصدر البيانات باستخدام النظام الأساسي للموصل بدون تعليمات برمجية.
• يستخدم موصل البيانات واجهة برمجة تطبيقات استيعاب السجل ل Azure Monitor كجزء من Azure Function أو Logic App.

لمزيد من المعلومات حول الاتصال ب Azure Functions، راجع المقالات التالية:

• استخدام Azure Functions لتوصيل مصدر البيانات ب Microsoft Sentinel
• وثائق Azure Functions
• تسعير Azure Functions

لمزيد من المعلومات حول الاتصال ب Logic Apps، راجع الاتصال ب Logic Apps.

التكامل المستند إلى العامل لموصلات البيانات

يمكن ل Microsoft Sentinel استخدام العوامل التي توفرها خدمة Azure Monitor (التي يستند إليها Microsoft Sentinel) لجمع البيانات من أي مصدر بيانات يمكنه إجراء دفق السجل في الوقت الحقيقي. على سبيل المثال، تتصل معظم مصادر البيانات المحلية باستخدام التكامل المستند إلى العامل.

تصف الأقسام التالية الأنواع المختلفة من موصلات البيانات المستندة إلى عامل Microsoft Azure Sentinel. لتكوين الاتصالات باستخدام الآليات المستندة إلى العامل، اتبع الخطوات الموجودة في كل صفحة موصل بيانات Microsoft Sentinel.

Syslog وتنسيق الحدث المشترك (CEF)

يمكنك دفق الأحداث من أجهزة تدعم Syslog المستندة إلى Linux إلى Microsoft Sentinel باستخدام عامل Azure Monitor (AMA). تختلف تنسيقات السجل، ولكن العديد من المصادر تدعم التنسيق المستند إلى CEF. اعتماداً على نوع الجهاز، يُثبت العامل إما مباشرة على الجهاز، أو على معيد توجيه سجل مخصص يستند إلى Linux. يتلقى AMA رسائل حدث Syslog عادية أو CEF من البرنامج الخفي Syslog عبر UDP. يقوم البرنامج الخفي Syslog بإعادة توجيه الأحداث إلى العامل داخليا، ويتواصل عبر TCP أو UDS (مآخذ مجال Unix)، اعتمادا على الإصدار. ثم يرسل AMA هذه الأحداث إلى مساحة عمل Microsoft Sentinel.

فيما يلي تدفق بسيط يوضح كيفية تدفق Microsoft Sentinel لبيانات Syslog.

1. يجمع برنامج Syslog الخفي المضمن للجهاز الأحداث المحلية للأنواع المحددة، ويحيل الأحداث محليا إلى العامل.
2. يقوم العامل ببث الأحداث إلى مساحة عمل Log Analytics.
3. بعد التكوين الناجح، تظهر رسائل Syslog في جدول Log Analytics Syslog ورسائل CEF في جدول CommonSecurityLog .

لمزيد من المعلومات، راجع Syslog و Common Event Format (CEF) عبر موصلات AMA ل Microsoft Sentinel.

سجلات مخصصة

بالنسبة لبعض مصادر البيانات، يمكنك جمع السجلات كملفات على أجهزة كمبيوتر Windows أو Linux باستخدام عامل جمع السجل المخصص Log Analytics.

للاتصال باستخدام عامل جمع السجل المخصص Log Analytics، اتبع الخطوات الموجودة في كل صفحة موصل بيانات Microsoft Sentinel. بعد التكوين الناجح، تظهر البيانات في جداول مخصصة.

لمزيد من المعلومات، راجع السجلات المخصصة عبر موصل بيانات AMA - تكوين استيعاب البيانات إلى Microsoft Sentinel من تطبيقات معينة.

تكامل الخدمة إلى الخدمة لموصلات البيانات

يستخدم Microsoft Sentinel أساس Azure لتوفير دعم الخدمة إلى الخدمة الجاهزة لخدمات الويب خدمات Microsoft وAmazon.

لمزيد من المعلومات، راجع المقالات التالية:

• قم بتوصيل Microsoft Sentinel إلى خدمات Azure وWindows وMicrosoft وAmazon
• البحث عن موصل بيانات Microsoft Azure Sentinel

دعم موصل البيانات

تُنشئ Microsoft والمؤسسات الأخرى موصلات بيانات Microsoft Azure Sentinel. يحتوي كل موصل بيانات على أحد أنواع الدعم التالية المدرجة في صفحة موصل البيانات في Microsoft Sentinel.

نوع الدعم	‏‏الوصف
مدعوم من Microsoft	ينطبق على: موصلات البيانات لمصادر البيانات حيث Microsoft هو موفر البيانات والمؤلفات. بعض موصلات البيانات التي تُنشئها Microsoft لمصادر بيانات غير تابعة لـ Microsoft. تدعم Microsoft موصلات البيانات في هذه الفئة وتحافظ عليها وفقا لخطط دعم Microsoft Azure. يدعم الشركاء أو موصلات بيانات المجتمع التي تم تأليفها من قبل أي طرف آخر غير Microsoft.
Partner-supported	ينطبق على موصلات البيانات التي أُنشئت بواسطة أطراف أخرى غير Microsoft. توفر الشركة الشريكة الدعم أو الصيانة لموصلات البيانات هذه. يمكن أن تكون الشركة الشريكة مورد برامج مستقل أو موفر خدمة مُدارة (MSP/MSSP) أو مؤسسة تكامل الأنظمة (SI) أو أي مؤسسة تتوفر معلومات الاتصال بها على صفحة Microsoft Azure Sentinel لموصل البيانات هذا. أي مشكلات في موصل بيانات مدعوم من الشريك، اتصل بجهة اتصال دعم موصل البيانات المحددة.
Community-supported	ينطبق على موصلات البيانات التي تم تأليفها من قبل Microsoft أو مطوري الشركاء الذين ليس لديهم جهات اتصال مدرجة لدعم موصل البيانات وصيانته على صفحة موصل البيانات في Microsoft Sentinel. بالنسبة للأسئلة أو المشكلات المتعلقة بموصلات البيانات هذه، يمكنك تقديم مشكلة في مجتمع Microsoft Azure Sentinel GitHub.

لمزيد من المعلومات، راجع البحث عن دعم لموصل بيانات.

الخطوات التالية

لمزيد من المعلومات حول موصلات البيانات، راجع المقالات التالية.

• توصيل مصادر البيانات ب Microsoft Sentinel باستخدام موصلات البيانات
• البحث عن موصل بيانات Microsoft Azure Sentinel
• موارد لإنشاء موصلات مخصصة ل Microsoft Sentinel

للحصول على مرجع أساسي للبنية الأساسية كتعليق برمجي (IaC) ل Bicep وAzure Resource Manager وTerraform لنشر موصلات البيانات في Microsoft Sentinel، راجع مرجع IaC لموصل بيانات Microsoft Sentinel.