موارد لإنشاء موصلات Microsoft Azure Sentinel المُخصصة

يوفر Microsoft Sentinel مجموعة واسعة من الموصلات المُضمنة لخدمات Azure والحلول الخارجية، كما يدعم استيعاب البيانات من بعض المصادر دون موصل مخصص.

في حال لم تتمكن من توصيل مصدر البيانات بـ Microsoft Azure Sentinel باستخدام أي من الحلول الموجودة المتوفرة، فضع في عين الاعتبار إنشاء موصل مصدر البيانات الخاص بك.

للحصول على قائمة كاملة بالموصلات المدعومة، راجع منشور مدونة Microsoft Azure Sentinel: الموصلات الكبرى (CEF وSyslog و Direct و Agent و Custom والمزيد).

مقارنة أساليب المُوصل المُخصصة

يُقارن الجدول التالي التفاصيل الأساسية حول كل أسلوب لإنشاء موصلات مخصصة موضحة في هذه المقالة. حدّد الارتباطات الموجودة في الجدول للحصولِ على مزيد من التفاصيل حول كل أسلوب.

وصفُ الأسلوب	الإمكانية	دون خادم	التعقيد
النظام الأساسي للموصل بدون تعليمات برمجية الأفضل لجماهير أقل تقنية لإنشاء موصلات خدمة تأجير البرامج باستخدام ملف تكوين بدلاً من التطوير المتقدم.	يدعم جميع الإمكاناتِ المتوفرة مع التعليمات البرمجية.	نعم	تطوير منخفض وبسيط بدون تعليمات برمجية
عامل Log Analytics الأفضل لجمع الملفات من مصادر محلية ومصادر خدمة تأجير البنية التحتية	مجموعة الملفاتِ فقط	لا	منخفض
Logstash الأفضل للمصادر المحلية ومصادر خدمة تأجير البنية التحتية، وأي مصدر يتوفر له مكون إضافي، والمؤسسات على دراية بالفعل بـ Logstash	توفّر المكونات الإضافية المتوفرة، بالإضافة إلى المكون الإضافي المخصص، مرونة كبيرة.	لا؛ يتطلب تشغيل نظام مجموعة الجهاز الظاهري أو الجهاز الظاهري	منخفض؛ يدعم العديدَ من السيناريوهات مع المكونات الإضافية
Logic Apps تكلفة عالية؛ تجنب البيانات ذات الحجمِ الكبير الأفضل لمصادر السحابةِ منخفضة الحجم	تسمح البرمجة بدون تعليماتٍ برمجية بمرونة محدودة، دون دعم لتنفيذ الخوارزميات. في حال لم يكن هناك إجراء متوفر يدعم متطلباتك بالفعل، فقد يؤدي إنشاء إجراء مخصص إلى إضافة تعقيد.	نعم	تطوير منخفض وبسيط بدون تعليمات برمجية
PowerShell الأفضل للنماذج الأولية وتحميلاتِ الملفات الدورية	دعم مباشر لمجموعةِ الملفات. يمكن استخدام PowerShell لجمع المزيدِ من المصادر، ولكن سيتطلب ترميز البرنامج النصي وتكوينه كخدمة.	لا	منخفض
واجهة برمجة التطبيقات Log Analytics الأفضل لـ ISV التي تنفذ التكامل، ولمتطلبات المجموعة الفريدة	يدعم جميع الإمكاناتِ المتوفرة مع التعليمات البرمجية.	يعتمد على التنفيذ	درجة عالية
دالات Azure الأفضل لمصادر السحابة عالية الحجم، ولمتطلبات المجموعة الفريدة من نوعها	يدعم جميع الإمكاناتِ المتوفرة مع التعليمات البرمجية.	نعم	مرتفع؛ يتطلب معرفةً بالبرمجة

تلميح

لمقارنات استخدام Logic Apps وAzure Functions لنفسِ الموصل، راجع:

• استيعاب سجلات جدار حماية تطبيق الويب السريع في Microsoft Azure Sentinel
• Office 365 (مجتمع Microsoft Sentinel GitHub): موصل Logic App | موصل Azure Function

الاتصال مع النظام الأساسي للموصلِ بدون تعليمات برمجية

يوفر النظام الأساسي للموصل بدون تعليمات برمجية ملف تكوين يمكن استخدامه من قبل كل من العملاء والشركاء، ثم نشره في مساحة العمل الخاصة بك، أو كحل لمعرض حلول Microsoft Azure Sentinel.

الموصلات التي تم إنشاؤها باستخدام النظام الأساسي للموصلِ بدون تعليمات برمجية هي خدمة تأجير البرامج بالكامل، دون أي متطلبات لتثبيت الخدمة، وتشمل أيضًا مراقبة الصحة والدعم الكامل من Microsoft Azure Sentinel.

لمزيد من المعلومات، راجع إنشاء موصل بدون تعليمات برمجية لـ Microsoft Azure Sentinel.

الاتصال بعاملِ Log Analytics

في حال كان مصدر البيانات الخاص بك يسلم الأحداث في الملفات، نوصي باستخدام عامل Azure Monitor Log Analytics لإنشاء موصل مُخصص.

• لمزيدٍ من المعلومات، راجع تجميع السجلات المخصصة في Azure Monitor.

• للحصول على مثال لهذا الأسلوب، راجع تجميع مصادر بيانات JSON المُخصصة باستخدام عامل Log Analytics لنظام Linux في Azure Monitor.

الاتصال بـ Logstash

في حال كنت على دراية بـ Logstash، فقد تحتاج إلى استخدام Logstash مع المكون الإضافي لإخراج Logstash لـ Microsoft Azure Sentinel لإنشاء الموصل المخصص الخاص بك.

باستخدام المكون الإضافي Microsoft Azure Sentinel Logstash Output، يمكنك استخدام أي مكونات إضافية لإدخال Logstash وتصفيتها، وتكوين Microsoft Azure Sentinel كإخراج لمسار Logstash. يحتوي Logstash على مكتبة كبيرة من المكونات الإضافية التي تمكن الإدخال من مصادر مختلفة، مثل مراكز الأحداث وApache Kafka والملفات وقواعدِ البيانات وخدمات السحابة. استخدم تصفية المكوناتِ الإضافية لتحليل الأحداث وتصفية الأحداث غير الضرورية وتعتيم القيم وغيرها.

للحصول على أمثلة لاستخدام Logstash كموصل مُخصص، راجع:

• البحث عن TTPs خرق حروف كبيرة واحد في سجلات AWS باستخدام Microsoft Azure Sentinel (مدونة)
• دليل تنفيذ Radware Microsoft Sentinel

للحصول على أمثلة على المكونات الإضافية المفيدة لـ Logstash، راجع:

• المكون الإضافي لإدخال Cloudwatch
• المكون الإضافي لمراكز الأحداث
• المكون الإضافي لإدخالِ Google Cloud Storage
• Google_pubsub input plugin

تلميح

يُتيح Logstash أيضًا جمع البيانات المتدرجة باستخدام نظام مجموعة. لمزيدٍ من المعلومات، راجع استخدام جهاز Logstash ظاهري متوازن التحميل على نطاق واسع.

الاتصال بـ Logic Apps

استخدم Azure Logic Apps لإنشاء موصل مخصص بلا خادم لـ Microsoft Azure Sentinel.

ملاحظة

في حين أن إنشاء موصلات بلا خادم باستخدام Logic Apps قد يكون مناسبًا، قد يكون استخدام Logic Apps للموصلات مكلفًا لكميات كبيرة من البيانات.

نوصي باستخدام هذا الأسلوب فقط لمصادر البيانات مُنخفضة الحجم، أو إثراء تحميلات البيانات.

1. استخدم أحد المشغلاتِ التالية لبدء تشغيل Logic Apps:

   مشغّل	الوصف
   مهمة مُتكررة	على سبيلِ المثال، قم بجدولة Logic App لاسترداد البيانات بانتظام من ملفات أو قواعد بيانات أو واجهات برمجة تطبيقات خارجية معينة. لمزيدٍ من المعلومات، راجع إنشاء المهام وسير العمل المتكررة وجدولتها وتشغيلها في Azure Logic Apps.
   تشغيل عند الطلب	شغّل Logic App عند الطلب لجمع البيانات يدويًا واختبارها. لمزيدٍ من المعلومات، راجع استدعاء تطبيقات المنطق أو تشغيلها أو تداخلها باستخدام HTTPS.
   نقطة نهاية HTTP/S	يوصى به للتدفق، وإذا كان النظام المصدر يُمكنه بدء نقل البيانات. لمزيدٍ من المعلومات، راجع نقاط نهاية خدمة الاتصال عبر HTTP أو HTTPs.

2. استخدم أي من موصلاتِ Logic App التي تقرأ المعلومات للحصول على الأحداث الخاصة بك. على سبيل المثال:

   • الاتصال بواجهةِ برمجة تطبيقات REST
   • الاتصال بـ SQL Server
   • الاتصال بنظامِ ملفات

   تلميح

   تدعم الموصلات المُخصصة لواجهات برمجة تطبيقات REST وخوادم SQL وأنظمة الملفات أيضًا استرداد البيانات من مصادر البيانات المحلية. لمزيدٍ من المعلومات، راجع وثائق تثبيت بوابة البيانات المحلية.

3. قم بإعداد المعلوماتِ التي تريد استردادها.

   على سبيل المثال، استخدم إجراء توزيع JSON للوصول إلى الخصائص في محتوى JSON، ما يتيح لك تحديد هذه الخصائص من قائمة المحتوى الديناميكي عند تحديد إدخالات لتطبيق المنطق الخاص بك.

   لمزيدٍ من المعلومات، راجع تنفيذ عمليات البيانات في Azure Logic Apps.

4. اكتب البياناتِ إلى Log Analytics.

   لمزيدٍ من المعلومات، راجع وثائق Azure Log Analytics Data Collector.

للحصول على أمثلة حول كيفية إنشاء موصل مخصص لـ Microsoft Azure Sentinel باستخدام Logic Apps، راجع:

• إنشاء خط بيانات بواجهة برمجة التطبيقات لـ Data Collector
• موصل Palo Alto Prisma Logic App باستخدام خطاف ويب (مجتمع Microsoft Sentinel GitHub)
• تأمين مكالمات Microsoft Teams الخاصة بك من خلال التنشيط المجدول (مدونة)
• استيعاب مؤشراتِ تهديد AlienVault OTX في Microsoft Sentinel (مدونة)

الاتصال بـ PowerShell

يمكّنك البرنامج النصي Upload-AzMonitorLog PowerShell من استخدام PowerShell لدفق الأحداث أو معلومات السياق إلى Microsoft Azure Sentinel من سطر الأوامر. يُنشئ هذا الدفق بشكل فعال موصلاً مخصصًا بين مصدر البيانات وMicrosoft Azure Sentinel.

على سبيل المثال، يقوم البرنامج النصي التالي بتحميل ملف CSV إلى Microsoft Azure Sentinel:

Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"

يستخدم البرنامج النصي Upload-AzMonitorLog PowerShell المعلمات التالية:

المعلمة	الوصف
WorkspaceId	معرف مساحة عمل Microsoft Azure Sentinel، حيث ستقوم بتخزين بياناتك. ابحث عن معرّف مساحة العمل والمفتاح.
WorkspaceKey	المفتاح الأساسي أو الثانوي لمساحة عمل Microsoft Azure Sentinel حيث ستقوم بتخزين بياناتك. ابحث عن معرّف مساحة العمل والمفتاح.
LogTypeName	اسم جدول السجل المُخصص حيث تريد تخزين البيانات. ستتم إضافة لاحقة _CL تلقائيًا إلى نهاية اسم الجدول.
AddComputerName	عند وجود هذه المعلمة، يُضيف البرنامج النصي اسم الكمبيوتر الحالي إلى كل سجل، في حقل يسمى الكمبيوتر.
TaggedAzureResourceId	عند وجود هذه المعلمة، يربط البرنامج النصي جميع سجلاتِ السجل التي تم تحميلها بمورد Azure المحدد. يُتيح هذا الاقتران سجلات السجل التي تم تحميلها لاستعلامات سياق الموارد، ويلتزم بالتحكم في الوصول المستند إلى الدور الذي يركز على الموارد.
AdditionalDataTaggingName	عند وجود هذه المعلمة، يُضيف البرنامج النصي حقلاً آخر إلى كل سجل، مع الاسم المكون والقيمة التي تم تكوينها للمعلمة AdditionalDataTaggingValue. في هذه الحالة، يجب ألا يكون AdditionalDataTaggingValue فارغًا.
AdditionalDataTaggingValue	عند وجود هذه المعلمة، يُضيف البرنامج النصي حقلاً آخر إلى كل سجل، مع القيمة المكونة والاسم التي تم تكوينها للمعلمة AdditionalDataTaggingValue. إذا كانت المعلمة AdditionalDataTaggingName فارغة، ولكن تم تكوين قيمة، فإن اسم الحقل الافتراضي يصبح DataTagging.

ابحث عن معرّف مساحة العمل والمفتاح

ابحث عن تفاصيلِ معلمات WorkspaceID وWorkspaceKey في Microsoft Azure Sentinel:

1. في Microsoft Azure Sentinel، حدد Settings على اليسار، ثم حدد علامة التبويب Workspace settings.

2. ضمن Get started with Log Analytics>1 Connect a data source, حددWindows and Linux agents management.

3. ابحث عن معرف مساحة العمل والمفتاح الأساسي والمفتاح الثانوي في علامات تبويب Windows servers.

الاتصال بواجهة برمجة التطبيقاتِ Log Analytics

يُمكنك دفق الأحداث إلى Microsoft Azure Sentinel باستخدام واجهة برمجة تطبيقات جامع بيانات Log Analytics لاستدعاء نقطة نهاية RESTful مباشرة.

أثناء استدعاء نقطة نهاية RESTful يتطلب مباشرة المزيد من البرمجة، فإنه يوفر أيضًا المزيد من المرونة.

لمزيدٍ من المعلومات، راجع واجهة برمجة تطبيقات مجمع بيانات Log Analytics، خاصة الأمثلة التالية:

• ⁧#C⁧
• Python

الاتصال بـ Azure Functions

استخدم Azure Functions مع واجهة برمجة تطبيقات RESTful ولغات ترميز مختلفة، مثل PowerShell، لإنشاء موصل مُخصص بلا خادم.

للحصول على أمثلةٍ لهذا الأسلوب، راجع:

• توصيل VMware Carbon Black Cloud Endpoint Standard بـ Microsoft Azure Sentinel باستخدام Azure Function
• توصيل Sign-On Okta Single بـ Microsoft Azure Sentinel باستخدام Azure Function
• توصيل Proofpoint TAP بـ Microsoft Azure Sentinel باستخدام Azure Function
• توصيل Qualys VM بـ Microsoft Azure Sentinel باستخدام Azure Function
• استيعاب XML أو CSV، أو تنسيقات أخرى من البيانات
• مراقبة التكبير/التصغير باستخدام Microsoft Azure Sentinel (مدونة)
• نشر تطبيق وظائف للحصول على بيانات واجهة برمجة تطبيقات إدارة Office 365 في Microsoft Azure Sentinel (مجتمع Microsoft Sentinel GitHub)

توزيع بيانات الموصل المخصص

للاستفادة من البيانات التي تم جمعها مع الموصل المخصص، قم بتطوير محللات نموذج معلومات الأمان المتقدمة للعمل مع الموصل الخاص بك. يُتيح استخدام ASIM للمحتوى المضمن في Microsoft Azure Sentinel استخدام بياناتك المخصصة ويجعل من السهل على المحللين الاستعلام عن البيانات.

في حال كانت طريقة الموصل تسمح بذلك، يمكنك تنفيذ جزء من التحليل كجزء من الموصل لتحسين أداء تحليل وقت الاستعلام:

• في حال كنت قد استخدمت Logstash، فاستخدم المكون الإضافي لعامل تصفية Grok لتحليل بياناتك.
• في حال كنت قد استخدمت دالة Azure، فوزع بياناتك باستخدام التعليمات البرمجية.

ستظل بحاجة إلى تنفيذ محللات ASIM، ولكن تنفيذ جزء من التحليل مباشرة مع الموصل يبسط التحليل ويحسّن الأداء.

الخطوات التالية

استخدم البياناتِ التي تم استيعابها في Microsoft Azure Sentinel لتأمين بيئتك مع أي من العمليات التالية:

• الحصول على رؤية في التنبيهات
• الرسوم المرئية لبياناتك ومراقبتها
• التحقيق في الحوادث
• الكشف عن التهديدات
• أتمتة منعِ التهديدات
• تتبع المخاطر

تعرّف أيضًا على مثال واحد لإنشاء موصل مخصص لمراقبة التكبير/التصغير: مراقبة التكبير/التصغير باستخدام Microsoft Azure Sentinel.