مشاركة عبر

توصيل Microsoft Sentinel بخدمات Microsoft الأخرى باستخدام الاتصالات المستندة إلى إعدادات التشخيص

  • مقالة

توضح هذه المقالة كيفية الاتصال ب Microsoft Sentinel باستخدام اتصالات إعدادات التشخيص. يستخدم Microsoft Sentinel أساس Azure لتوفير دعم مضمن من خدمة إلى خدمة لاستيعاب البيانات من العديد من خدمات Azure وMicrosoft 365 وخدمات ويب Amazon وخدمات Windows Server المختلفة. هناك بعض الطرق المختلفة التي يتم من خلالها إجراء هذه الاتصالات.

تقدم هذه المقالة معلومات شائعة لمجموعة موصلات البيانات التي تستخدم الاتصالات المستندة إلى إعدادات التشخيص. تتم إدارة بعض هذه الأنواع من الموصلات باستخدام نهج Azure. بالنسبة للموصلات الأخرى من هذا النوع، استخدم الإرشادات المستقلة.

ملاحظة

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

موصلات قائمة على إعدادات التشخيص المستقلة

يغطي هذا القسم المتطلبات الأساسية وإرشادات التثبيت العامة لمجموعة موصلات البيانات التي تستخدم اتصالات قائمة على إعدادات التشخيص المستقلة.

المتطلبات الأساسية

لاستيعاب البيانات في Microsoft Sentinel:

  • يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

الإرشادات

  1. من قائمة التنقل Microsoft Sentinel، حدد موصلات البيانات.

  2. حدد نوع المورد من معرض موصلات البيانات، ثم حدد فتح صفحة الموصل في جزء المعاينة.

  3. في قسم تكوين في صفحة الموصل، حدد الارتباط لفتح صفحة تكوين المورد.

    إذا تم تقديم قائمة بالموارد من النوع المطلوب، فحدد الارتباط لمورد تريد استيعاب سجلاته.

  4. من قائمة التنقل بين الموارد، حدد إعدادات التشخيص.

  5. حدد + إضافة إعداد تشخيص في أسفل القائمة.

  6. في شاشة إعدادات التشخيص، أدخل اسمًا في حقل اسم إعدادات التشخيص.

    حدد مربع الاختيار إرسال إلى Log Analytics. سيتم عرض حقلين جديدين أسفله. اختر الاشتراك ذي الصلة ومساحة عمل Log Analytics (حيث يوجد Microsoft Sentinel).

  7. ضع علامة على خانات الاختيار الخاصة وأنواع السجلات والمقاييس التي تريد جمعها. راجع اختياراتنا الموصى بها لكل نوع مورد في القسم الخاص بموصل المورد في الصفحة المرجعية لموصلات البيانات.

  8. حدد حفظ في الجزء العلوي من الشاشة.

لمزيد من المعلومات، راجع أيضًا إنشاء إعدادات تشخيص لإرسال سجلات النظام الأساسي ومقاييسه إلى وجهات مختلفة في وثائق Azure Monitor.

الموصلات المستندة إلى إعدادات التشخيص المدارة في نهج Azure

يغطي هذا القسم المتطلبات الأساسية وإرشادات التثبيت العامة لمجموعة موصلات البيانات التي تستخدم الاتصالات المستندة إلى إعدادات التشخيص المدارة في نهج Azure.

المتطلبات الأساسية

لاستيعاب البيانات في Microsoft Sentinel:

  • يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

  • لاستخدام نهج Azure لتطبيق نهج تدفق السجل على مواردك، يجب أن يكون لديك دور المالك لنطاق تعيين النهج.

  • متطلبات محددة لموصل البيانات:

    موصّل البيانات الترخيص والتكاليف والمعلومات الأخرى
    Azure Activity يستخدم هذا الموصل الآن البنية الأساسية لبرنامج ربط العمليات التجارية لإعدادات التشخيص. إذا كنت تستخدم الأسلوب القديم، فيجب قطع اتصال الاشتراكات الموجودة بالأسلوب القديم قبل إعداد موصل سجل نشاط Azure الجديد.

    1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات. من قائمة الموصلات، حدد نشاط Azure، ثم حدد الزر فتح صفحة الموصل في أسفل اليمين.
    2. ضمن علامة التبويب إرشادات ، في قسم التكوين ، في الخطوة 1، راجع قائمة الاشتراكات الموجودة المتصلة بالأسلوب القديم، وافصلها جميعا مرة واحدة بالنقر فوق الزر قطع الاتصال الكل أدناه.
    3. تابع إعداد الموصل الجديد مع الإرشادات الواردة في هذا القسم.
    Azure DDoS Protection - خطة حماية Azure DDoS القياسية المكونة.
    - الشبكة الظاهرية المكونة مع تمكين Azure DDoS Standard
    - قد يتم تطبيق رسوم أخرى
    - تتغير حالة موصل بيانات حماية Azure DDoS إلى متصل فقط عندما تكون الموارد المحمية تحت هجوم DDoS.
    حساب مساحة تخزين Azure يحتوي مورد حساب التخزين (الأصل) داخله على موارد أخرى (تابعة) لكل نوع من أنواع التخزين: الملفات والجداول وقوائم الانتظار والكائنات الثنائية كبيرة الحجم.
    عند تكوين التشخيصات لحساب تخزين، يجب تحديد وتكوين:

    - مورد الحساب الأصل، تصدير مقياس المعاملة .
    - كل مورد من موارد نوع التخزين التابعة، وتصدير جميع السجلات والمقاييس.

    سترى فقط أنواع التخزين التي قمت بالفعل بتعريف الموارد لها.

الإرشادات

تستخدم الموصلات من هذا النوع نهج Azure لتطبيق تكوين إعدادات تشخيص واحد على مجموعة من الموارد من نوع واحد، المعرفة كنطاق. يمكنك مشاهدة أنواع السجلات التي تم تناولها من نوع مورد معين على الجانب الأيمن من صفحة الموصل لهذا المورد، ضمن أنواع البيانات.

  1. من قائمة التنقل Microsoft Sentinel، حدد موصلات البيانات.

  2. حدد نوع المورد من معرض موصلات البيانات، ثم حدد فتح صفحة الموصل في جزء المعاينة.

  3. في قسم التكوين في صفحة الموصل، قم بتوسيع أي موسعات تراها هناك وحدد زر تشغيل معالج تعيين نهج Azure.

    يفتح معالج تعيين النهج، وهو جاهز لإنشاء نهج جديد، مع ملء اسم النهج مسبقًا.

    1. في علامة التبويب الأساسيات، حدد الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لاختيار اشتراكك (واختياريًا، مجموعة موارد). يمكنك أيضا إضافة وصف.

    2. في علامة تبويب المعلمات:

      • قم بإلغاء تحديد خانة الاختيار إظهار المعلمات التي تتطلب إدخال فقط.
      • إذا رأيت حقلي التأثير وتعيين الاسم، فاتركهما كما هي.
      • اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics.
      • تمثل الحقول المنسدلة المتبقية أنواع سجلات التشخيص المتوفرة. اترك علامة "True" على جميع أنواع السجلات التي تريد استيعابها.

    3. سيتم تطبيق النهج على الموارد المضافة في المستقبل. لتطبيق النهج على الموارد الموجودة أيضًا، حدد علامة التبويب المعالجة وضع علامة على خانة الاختيار إنشاء مهمة معالجة.

    4. في علامة التبويب مراجعة + إنشاء حدد إنشاء. تم الآن تعيين النهج الخاص بك إلى النطاق الذي اخترته.

باستخدام هذا النوع من موصل البيانات، ستظهر مؤشرات حالة الاتصال (شريط ألوان في معرض موصلات البيانات وأيقونات الاتصال بجوار أسماء أنواع البيانات) على أنها متصلة (خضراء) فقط إذا تم استيعاب البيانات في مرحلة ما في الأيام الـ14 الماضية. بمجرد مرور 14 يومًا دون استيعاب البيانات، سيظهر الموصل على أنه غير متصل. في اللحظة التي تأتي من خلالها المزيد من البيانات، ستعود الحالة المتصلة.

يمكنك العثور على البيانات الخاصة بكل نوع مورد والاستعلام عنها باستخدام اسم الجدول الذي يظهر في القسم الخاص بموصل المورد في الصفحة المرجعية لموصلات البيانات. لمزيد من المعلومات، راجع إنشاء إعدادات تشخيص لإرسال سجلات النظام الأساسي ومقاييسه إلى وجهات مختلفة في وثائق Azure Monitor.

الخطوات التالية

لمزيد من المعلومات، انظر: