مشاركة عبر

توصيل Microsoft Sentinel خدمات Microsoft الأخرى باستخدام الاتصالات المستندة إلى إعدادات التشخيص

  • مقالة

توضح هذه المقالة كيفية الاتصال ب Microsoft Sentinel باستخدام اتصالات إعدادات التشخيص. يستخدم Microsoft Sentinel أساس Azure لتوفير دعم مضمن من خدمة إلى خدمة لاستيعاب البيانات من العديد من خدمات Azure وMicrosoft 365 وخدمات ويب Amazon وخدمات Windows Server المختلفة. هناك بعض الطرق المختلفة التي يتم من خلالها إجراء هذه الاتصالات.

تقدم هذه المقالة معلومات شائعة لمجموعة موصلات البيانات التي تستخدم الاتصالات المستندة إلى إعدادات التشخيص. تتم إدارة بعض هذه الأنواع من الموصلات باستخدام نهج Azure. بالنسبة للموصلات الأخرى من هذا النوع، استخدم الإرشادات المستقلة.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

المتطلبات الأساسية

لاستيعاب البيانات في Microsoft Sentinel باستخدام موصل مستقل يستند إلى إعدادات التشخيص، يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Log Analytics الممكنة ل Microsoft Sentinel.

لاستيعاب البيانات في Microsoft Sentinel باستخدام الموصلات المستندة إلى إعدادات التشخيص التي يديرها نهج Azure، يجب أن يكون لديك أيضا المتطلبات الأساسية التالية:

  • لاستخدام نهج Azure لتطبيق نهج تدفق السجل على مواردك، يجب أن يكون لديك دور المالك لنطاق تعيين النهج.

  • المتطلبات الأساسية التالية، اعتمادا على الموصل الذي تستخدمه:

    موصل البيانات الترخيص والتكاليف ومعلومات أخرى
    نشاط Azure يستخدم هذا الموصل الآن مسار إعدادات التشخيص. إذا كنت تستخدم الأسلوب القديم، فيجب قطع اتصال الاشتراكات الموجودة بالأسلوب القديم قبل إعداد موصل سجل نشاط Azure الجديد.

    1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات. من قائمة الموصلات، حدد نشاط Azure، ثم حدد الزر فتح صفحة الموصل في أسفل اليمين.
    2. ضمن علامة التبويب إرشادات ، في قسم التكوين ، في الخطوة 1، راجع قائمة الاشتراكات الموجودة المتصلة بالأسلوب القديم، وافصلها جميعا مرة واحدة بالنقر فوق الزر قطع الاتصال بالكل أدناه.
    3. متابعة إعداد الموصل الجديد مع الإرشادات الواردة في هذا القسم.
    حماية Azure DDos - خطة حماية Azure DDoS القياسية المكونة.
    - الشبكة الظاهرية المكونة مع تمكين Azure DDoS Standard
    - قد يتم تطبيق رسوم أخرى
    - تتغير حالة موصل بيانات حماية Azure DDoS إلى متصل فقط عندما تكون الموارد المحمية تحت هجوم DDoS.
    حساب تخزين Azure يحتوي مورد حساب التخزين (الأصل) داخله على موارد أخرى (تابعة) لكل نوع من أنواع التخزين: الملفات والجداول وقوائم الانتظار والكائنات الثنائية كبيرة الحجم.
    عند تكوين التشخيصات لحساب تخزين، يجب عليك تحديد وتكوين:

    - مورد الحساب الأصل، تصدير مقياس المعاملة .
    - كل من موارد نوع التخزين التابع، وتصدير جميع السجلات والمقاييس.

    سترى فقط أنواع التخزين التي قمت بالفعل بتعريف الموارد لها.

الاتصال عبر موصل قائم على إعدادات التشخيص المستقلة

يصف هذا الإجراء كيفية الاتصال ب Microsoft Sentinel باستخدام موصلات البيانات التي تستخدم اتصالات مستقلة استنادا إلى إعدادات التشخيص.

  1. من قائمة التنقل Microsoft Sentinel، حدد موصلات البيانات.

  2. حدد نوع المورد من معرض موصلات البيانات، ثم حدد فتح صفحة الموصل في جزء المعاينة.

  3. في قسم تكوين في صفحة الموصل، حدد الارتباط لفتح صفحة تكوين المورد.

    إذا تم تقديم قائمة بالموارد من النوع المطلوب، فحدد الارتباط لمورد تريد استيعاب سجلاته.

  4. من قائمة التنقل بين الموارد، حدد إعدادات التشخيص.

  5. حدد + إضافة إعداد تشخيص في أسفل القائمة.

  6. في شاشة إعدادات التشخيص، أدخل اسمًا في حقل اسم إعدادات التشخيص.

    حدد مربع الاختيار إرسال إلى Log Analytics. يتم عرض حقلين جديدين أسفله. اختر الاشتراك ذي الصلة ومساحة عمل Log Analytics (حيث يوجد Microsoft Sentinel).

  7. ضع علامة على خانات الاختيار الخاصة وأنواع السجلات والمقاييس التي تريد جمعها. راجع اختياراتنا الموصى بها لكل نوع مورد في القسم الخاص بموصل المورد في الصفحة المرجعية لموصلات البيانات.

  8. حدد حفظ في الجزء العلوي من الشاشة.

لمزيد من المعلومات، راجع أيضًا إنشاء إعدادات تشخيص لإرسال سجلات النظام الأساسي ومقاييسه إلى وجهات مختلفة في وثائق Azure Monitor.

الاتصال عبر موصل يستند إلى الإعداد التشخيصي تتم إدارته بواسطة Azure Policy

يصف هذا الإجراء كيفية الاتصال ب Microsoft Sentinel باستخدام موصلات البيانات التي تستخدم الاتصالات التي تستند إلى إعدادات التشخيص وتتم إدارتها بواسطة نهج Azure.

تستخدم الموصلات من هذا النوع نهج Azure لتطبيق تكوين إعدادات تشخيص واحد على مجموعة من الموارد من نوع واحد، المعرفة كنطاق. يمكنك مشاهدة أنواع السجلات التي تم تناولها من نوع مورد معين على الجانب الأيمن من صفحة الموصل لهذا المورد، ضمن أنواع البيانات.

  1. من قائمة التنقل Microsoft Sentinel، حدد موصلات البيانات.

  2. حدد نوع المورد من معرض موصلات البيانات، ثم حدد فتح صفحة الموصل في جزء المعاينة.

  3. في قسم التكوين في صفحة الموصل، قم بتوسيع أي موسعات تراها هناك وحدد زر تشغيل معالج تعيين نهج Azure.

    يفتح معالج تعيين النهج، وهو جاهز لإنشاء نهج جديد، مع ملء اسم النهج مسبقا.

    1. في علامة التبويب الأساسيات، حدد الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لاختيار اشتراكك (واختياريًا، مجموعة موارد). يمكنك أيضا إضافة وصف.

    2. في علامة تبويب محددات:

      • قم بإلغاء تحديد خانة الاختيار إظهار المعلمات التي تتطلب إدخال فقط.
      • إذا رأيت حقلي التأثير وتعيين الاسم، فاتركهما كما هي.
      • اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics.
      • تمثل الحقول المنسدلة المتبقية أنواع سجلات التشخيص المتوفرة. اترك علامة True على جميع أنواع السجلات التي تريد استيعابها.

    3. سيتم تطبيق النهج على الموارد المضافة في المستقبل. لتطبيق النهج على الموارد الموجودة أيضًا، حدد علامة التبويب المعالجة وضع علامة على خانة الاختيار إنشاء مهمة معالجة.

    4. في علامة التبويب مراجعة + إنشاء حدد إنشاء. تم الآن تعيين النهج الخاص بك إلى النطاق الذي اخترته.

باستخدام هذا النوع من موصل البيانات، تظهر مؤشرات حالة الاتصال (شريط ألوان في معرض موصلات البيانات وأيقونات الاتصال بجوار أسماء أنواع البيانات) على أنها متصلة (خضراء) فقط إذا تم استيعاب البيانات في مرحلة ما في الأيام ال 14 الماضية. بمجرد مرور 14 يوما دون استيعاب البيانات، يظهر الموصل على أنه غير متصل. في اللحظة التي تأتي من خلالها المزيد من البيانات، ترجع الحالة المتصلة .

يمكنك العثور على البيانات الخاصة بكل نوع مورد والاستعلام عنها باستخدام اسم الجدول الذي يظهر في القسم الخاص بموصل المورد في الصفحة المرجعية لموصلات البيانات. لمزيد من المعلومات، راجع إنشاء إعدادات تشخيص لإرسال سجلات النظام الأساسي ومقاييسه إلى وجهات مختلفة في وثائق Azure Monitor.

المحتوى ذو الصلة

لمزيد من المعلومات، راجع: