توصيل النظام الأساسي للتحليل الذكي للمخاطر ب Microsoft Sentinel باستخدام واجهة برمجة تطبيقات تحميل المؤشرات

• ينطبق على:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تستخدم العديد من المؤسسات حلول النظام الأساسي للمعلومات الذكية للمخاطر (TIP) لتجميع موجزات مؤشرات التهديد من مصادر مختلفة. من الموجز المجمع، يتم تنسيق البيانات لتطبيقها على حلول الأمان مثل أجهزة الشبكة أو حلول EDR/XDR أو معلومات الأمان وحلول إدارة الأحداث (SIEM) مثل Microsoft Sentinel. باستخدام واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر، يمكنك استخدام هذه الحلول لاستيراد مؤشرات التهديد إلى Microsoft Sentinel.

استيعاب واجهة برمجة تطبيقات مؤشرات التحميل مؤشرات التحليل الذكي للمخاطر في Microsoft Sentinel دون الحاجة إلى موصل البيانات. يعكس موصل البيانات فقط إرشادات الاتصال بنقطة نهاية واجهة برمجة التطبيقات الموضحة في هذه المقالة والمستند المرجعي لواجهة برمجة التطبيقات Microsoft Sentinel Upload Indicators API.

لمزيد من المعلومات حول التحليل الذكي للمخاطر، راجع التحليل الذكي للمخاطر.

هام

واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر من Microsoft Sentinel قيد المعاينة. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على مزيد من الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو التي لم يتم إصدارها بعد في التوفر العام.

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

لمزيد من المعلومات، راجع توصيل Microsoft Azure Sentinel بموجزات التحليل الذكي للمخاطر STIX/TAXII.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

المتطلبات الأساسية

• لتثبيت المحتوى أو الحلول المستقلة وتحديثها وحذفها في مركز المحتوى، تحتاج إلى دور مساهم Microsoft Sentinel على مستوى مجموعة الموارد. لا تحتاج إلى تثبيت موصل البيانات لاستخدام نقطة نهاية واجهة برمجة التطبيقات.
• يجب أن يكون لديك أذونات قراءة وكتابة إلى مساحة عمل Microsoft Azure Sentinel لتخزين مؤشرات التهديد الخاصة بك.
• يجب أن تكون قادرا على تسجيل تطبيق Microsoft Entra.
• يجب منح تطبيق Microsoft Entra دور مساهم Microsoft Sentinel على مستوى مساحة العمل.

الإرشادات

اتبع هذه الخطوات لاستيراد مؤشرات التهديد إلى Microsoft Azure Sentinel من TIP المتكامل أو حل معلومات التهديدات المخصص:

1. تسجيل تطبيق Microsoft Entra، ثم تسجيل معرف التطبيق الخاص به.
2. إنشاء سر عميل وتسجيله لتطبيق Microsoft Entra الخاص بك.
3. قم بتعيين تطبيق Microsoft Entra الخاص بك إلى دور Microsoft Sentinel Contributor أو ما يعادله.
4. تكوين حل TIP أو التطبيق المخصص.

تسجيل تطبيق Microsoft Entra

تسمح أذونات دور المستخدم الافتراضية للمستخدمين بإنشاء تسجيلات التطبيق. إذا تم تبديل هذا الإعداد إلى لا، فأنت بحاجة إلى إذن لإدارة التطبيقات في Microsoft Entra. يتضمن أي من أدوار Microsoft Entra التالية الأذونات المطلوبة:

• مسؤول التطبيق
• مطور التطبيقات
• مسؤول التطبيق عبر السحابة

لمزيد من المعلومات حول تسجيل تطبيق Microsoft Entra، راجع تسجيل تطبيق.

بعد تسجيل التطبيق الخاص بك، سجل معرف التطبيق الخاص به (العميل) من علامة التبويب نظرة عامة على التطبيق.

إنشاء سر العميل وتسجيله

الآن بعد أن تم تسجيل التطبيق الخاص بك، قم بإنشاء وتسجيل سر العميل.

لمزيد من المعلومات حول إنشاء سر العميل، راجع إضافة سر عميل.

تعيين دور للتطبيق

استيعاب واجهة برمجة تطبيقات مؤشرات التحميل مؤشرات التهديد على مستوى مساحة العمل ويسمح بدور أقل امتيازا ل Microsoft Sentinel Contributor.

1. من مدخل Microsoft Azure، انتقل إلى مساحات عمل Log Analytics.

2. حدد Access control (IAM).

3. حدد إضافة>Add role assignmen.

4. في علامة التبويب Role ، حدد دور Microsoft Sentinel Contributor ، ثم حدد Next.

5. في علامة التبويب الأعضاء ، حدد تعيين الوصول إلى>المستخدم أو المجموعة أو كيان الخدمة.

6. حدد الأعضاء. بشكل افتراضي، لا يتم عرض تطبيقات Microsoft Entra في الخيارات المتاحة. للعثور على التطبيق الخاص بك، ابحث عنه بالاسم.

   

7. حدد مراجعة + تعيين.

لمزيد من المعلومات حول تعيين الأدوار للتطبيقات، راجع تعيين دور للتطبيق.

تثبيت موصل بيانات واجهة برمجة تطبيقات تحميل مؤشرات التحليل الذكي للمخاطر في Microsoft Sentinel (اختياري)

قم بتثبيت موصل بيانات واجهة برمجة تطبيقات تحميل مؤشرات التحليل الذكي للمخاطر لمشاهدة إرشادات اتصال واجهة برمجة التطبيقات من مساحة عمل Microsoft Sentinel.

1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن إدارة المحتوى، حدد مركز المحتوى.
   بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد مركز محتوى إدارة>المحتوى في Microsoft Sentinel.>

2. ابحث عن حل التحليل الذكي للمخاطر وحدده.

3. حدد الزر تثبيت/تحديث.

   لمزيد من المعلومات حول كيفية إدارة مكونات الحل، راجع اكتشاف المحتوى الجاهز ونشره.

4. أصبح موصل البيانات الآن مرئيا في موصلات بيانات التكوين>. افتح صفحة موصلات البيانات للعثور على مزيد من المعلومات حول كيفية تكوين التطبيق الخاص بك باستخدام واجهة برمجة التطبيقات هذه.

   

تكوين حل النظام الأساسي للتحليق الذكي للمخاطر أو التطبيق المخصص

معلومات التكوين التالية مطلوبة من قبل واجهة برمجة تطبيقات تحميل المؤشرات:

• معرف التطبيق (العميل)
• سر العميل
• معرف مساحة عمل Microsoft Sentinel

أدخل هذه القيم في تكوين TIP المتكامل أو الحل المخصص عند الحاجة.

1. أرسل المؤشرات إلى واجهة برمجة تطبيقات Microsoft Sentinel Upload Indicators. لمعرفة المزيد حول واجهة برمجة تطبيقات تحميل المؤشرات، راجع واجهة برمجة تطبيقات مؤشرات التحميل في Microsoft Sentinel.

2. في غضون بضع دقائق، يجب أن تبدأ مؤشرات التهديد في التدفق إلى مساحة عمل Microsoft Sentinel. ابحث عن المؤشرات الجديدة في جزء التحليل الذكي للمخاطر، والذي يمكن الوصول إليه من قائمة Microsoft Sentinel.

3. تعكس حالة موصل البيانات الحالة متصل . يتم تحديث الرسم البياني للبيانات المستلمة بعد إرسال المؤشرات بنجاح.

   

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية توصيل تلميحك ب Microsoft Sentinel. لمعرفة المزيد حول استخدام مؤشرات التهديد في Microsoft Sentinel، راجع المقالات التالية:

• فهم التحليل الذكي للمخاطر.
• العمل مع مؤشرات التهديد طوال تجربة Microsoft Azure Sentinel.
• ابدأ في اكتشاف التهديدات باستخدام قواعد التحليلات المضمنة أو المخصصة في Microsoft Sentinel.