توصيل Microsoft Sentinel خدمات Microsoft أخرى باستخدام موصل بيانات مستند إلى عامل Windows

توضح هذه المقالة كيفية توصيل Microsoft Sentinel باتصالات أخرى تستند إلى عامل Windows خدمات Microsoft. يستخدم Microsoft Sentinel عامل Azure Monitor لتوفير دعم مضمن من خدمة إلى خدمة لاستيعاب البيانات من العديد من خدمات Azure وMicrosoft 365 وخدمات Amazon Web Services وخدمات Windows Server المختلفة.

يستخدم عامل Azure Monitor قواعد جمع البيانات (DCRs) لتعريف البيانات المراد جمعها من كل عامل. توفر لك قواعد جمع البيانات ميزتين متميزتين:

• إدارة إعدادات المجموعة على نطاق واسع مع الاستمرار في السماح بتكوينات فريدة محددة النطاق لمجموعات فرعية من الأجهزة. وهي مستقلة عن مساحة العمل ومستقلة عن الجهاز الظاهري، مما يعني أنه يمكن تعريفها مرة واحدة وإعادة استخدامها عبر الأجهزة والبيئات. راجع تكوين جمع البيانات لعامل Azure Monitor.

• إنشاء عوامل تصفية مخصصة لاختيار الأحداث الدقيقة التي تريد استيعابها. يستخدم عامل Azure Monitor هذه القواعد لتصفية البيانات في المصدر واستيعاب الأحداث التي تريدها فقط، مع ترك كل شيء آخر وراءه. هذا يمكن أن يوفر لك الكثير من المال في تكاليف ابتلاع البيانات!

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

هام

بعض الموصلات المستندة إلى عامل Azure Monitor (AMA) موجودة حاليًا في معاينة. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

المتطلبات الأساسية

• يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

• لتجميع الأحداث من أي نظام ليس جهازاً ظاهرياً لـ Azure، يجب أن يكون لدى النظام Azure Arc مثبت وممكن قبل تمكين الموصل المستند إلى عامل مراقبة Azure.

  يتضمن هذا:

  • خوادم Windows مثبتة على أجهزة فعلية
  • خوادم Windows مثبتة على الأجهزة الظاهرية المحلية
  • خوادم Windows مثبتة على الأجهزة الظاهرية في السحب غير المتعلقة بـ Azure

• بالنسبة إلى موصل بيانات الأحداث التي تمت إعادة توجيهها في Windows:

  • يجب تمكين مجموعة أحداث Windows (WEC) وتشغيلها، مع تثبيت عامل Azure Monitor على جهاز WEC.
  • نوصي بتثبيت موزعي نموذج معلومات الأمان المتقدم (ASIM) لضمان الدعم الكامل لتطبيع البيانات. يمكنك نشر الموزعين من Azure-Sentinelمستودع GitHub باستخدام الزر النشر إلى Azure هناك.

• قم بتثبيت حل Microsoft Sentinel ذي الصلة من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

إنشاء قواعد جمع البيانات عبر واجهة المستخدم الرسومية

1. من Microsoft Sentinel، حدد موصلات بيانات التكوين>. حدد الموصل من القائمة، ثم حدد فتح صفحة الموصل في جزء التفاصيل. ثم اتبع الإرشادات التي تظهر على الشاشة ضمن علامة التبويب الإرشادات، كما هو موضح في بقية هذا القسم.

2. تحقق من أن لديك الأذونات المناسبة كما هو موضح ضمن المقطع المتطلبات المسبقة على صفحة الموصل.

3. ضمن تكوين، حدد +إضافة قاعدة تجميع البيانات. سيتم فتح معالج إنشاء قاعدة تجميع البيانات إلى اليمين.

4. ضمن أساسيات، أدخل اسم قاعدة وحدد مجموعة اشتراك وموارد حيث سيتم إنشاء قاعدة تجميع البيانات (DCR). هذا ليس من الضروري أن يكون نفس مجموعة الموارد أو الاشتراك الأجهزة المراقبة وارتباطاتها في، طالما أنها في المستأجر نفسه.

5. في علامة التبويب الموارد، حدد +إضافة مورد (موارد) لإضافة الأجهزة التي سيتم تطبيق قاعدة تجميع البيانات عليها. سيتم فتح مربع الحوار تحديد نطاق، وستظهر لك قائمة بالاشتراكات المتوفرة. قم بتوسيع اشتراك لمشاهدة مجموعات الموارد الخاصة به، وتوسيع مجموعة موارد لرؤية الأجهزة المتوفرة. سترى الأجهزة الظاهرية Azure والخوادم تمكين Azure Arc في القائمة. يمكنك وضع علامة على خانات الاختيار الخاصة بالاشتراكات أو مجموعات الموارد لتحديد كافة الأجهزة التي تحتوي عليها، أو يمكنك تحديد أجهزة فردية. حدد تطبيق عند اختيار جميع أجهزتك. في نهاية هذه العملية، سيتم تثبيت عامل Azure Monitor على أي أجهزة محددة لم يتم تثبيتها مسبقاً.

6. في علامة التبويب تجميع ، اختر الأحداث التي تريد تجميعها: حدد كافة الأحداث أو مخصص لتحديد سجلات أخرى أو لتصفية الأحداث باستخدام استعلامات XPath. أدخل التعبيرات في المربع الذي يقيم لمعايير XML معينة للأحداث التي يتم تجميعها، ثم حدد إضافة. يمكنك إدخال ما يصل إلى 20 تعبيراً في مربع واحد، وما يصل إلى 100 مربع في قاعدة.

   لمزيد من المعلومات، راجع وثائق Azure Monitor.

   إشعار

   • يوفر موصل أحداث أمن Windows مجموعتين أحداث أخرى تم إنشاؤها مسبقًا يمكنك اختيار تجميعها: شائع والأقل.

   • يدعم عامل Azure Monitor استعلامات XPath للإصدار 1.0 من XPath فقط.

   لاختبار صلاحية استعلام XPath، استخدم PowerShell cmdlet Get-WinEvent مع المعلمة -FilterXPath . على سبيل المثال:

   $XPath = '*[System[EventID=1035]]'
   Get-WinEvent -LogName 'Application' -FilterXPath $XPath
   

   • إذا تم إرجاع الأحداث، فعندها يكون الاستعلام صالحًا.
   • إذا تلقيت الرسالة "لم يتم العثور على أحداث تطابق معايير التحديد المحددة"، فعندها قد يكون الاستعلام صالحاً، ولكن لا توجد أحداث مطابقة على الجهاز المحلي.
   • إذا تلقيت الرسالة «الاستعلام المحدد غير صالح»، بناء جملة الاستعلام غير صالح.

7. عند إضافة كافة تعبيرات التصفية التي تريدها، حدد التالي: مراجعة + إنشاء.

8. عندما ترى رسالة تم التحقق من الصحة، حدد إنشاء.

سترى جميع قواعد جمع البيانات الخاصة بك، بما في ذلك تلك التي تم إنشاؤها من خلال واجهة برمجة التطبيقات، ضمن التكوين في صفحة الموصل. من هناك، يمكنك تحرير أو حذف القواعد الموجودة.

إنشاء قواعد تجميع البيانات باستخدام واجهة برمجة التطبيقات

يمكنك أيضا إنشاء قواعد تجميع البيانات باستخدام واجهة برمجة التطبيقات، والتي يمكن أن تجعل الحياة أسهل إذا كنت تقوم بإنشاء العديد من القواعد، مثل ما إذا كنت MSSP. فيما يلي مثال (لأحداث أمن Windows عبر موصل AMA) يمكنك استخدامه كقالب لإنشاء قاعدة:

طلب عنوان URL والعنوان

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

نص الطلب

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

لمزيد من المعلومات، راجع:

• قواعد جمع البيانات (DCRs) في Azure Monitor
• مخطط API لقواعد جمع البيانات

الخطوات التالية

لمزيد من المعلومات، راجع:

• كتالوج حلول Microsoft Azure Sentinel
• تكامل التحليل الذكي للمخاطر في Microsoft Sentinel