البحث عن موصل بيانات Microsoft Sentinel

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

تسرد هذه المقالة جميع موصلات البيانات المدعومة الجاهزة والارتباطات إلى خطوات نشر كل موصل.

هام

تتوفر موصلات البيانات كجزء من العروض التالية:

  • الحلول: يتم نشر العديد من موصلات البيانات كجزء من حل Microsoft Sentinel مع المحتوى ذي الصلة مثل قواعد التحليلات والمصنفات ودلائل المبادئ. لمزيد من المعلومات، راجع كتالوج حلول Microsoft Sentinel.

  • موصلات المجتمع: يتم توفير المزيد من موصلات البيانات من قبل مجتمع Microsoft Sentinel ويمكن العثور عليها في Azure Marketplace. وثائق موصلات بيانات المجتمع هي مسؤولية المؤسسة التي أنشأت الموصل.

  • الموصلات المخصصة: إذا كان لديك مصدر بيانات غير مدرج أو مدعوم حاليا، يمكنك أيضا إنشاء موصل مخصص خاص بك. لمزيد من المعلومات، راجع الموارد لإنشاء موصلات مخصصة Microsoft Sentinel.

ملاحظة

للحصول على معلومات حول توفر الميزات في السحب الحكومية الأمريكية، راجع جداول Microsoft Sentinel في توفر ميزة السحابة لعملاء حكومة الولايات المتحدة.

المتطلبات الأساسية لموصل البيانات

يحتوي كل موصل بيانات على مجموعة المتطلبات الأساسية الخاصة به. قد تتضمن المتطلبات الأساسية الحصول على أذونات محددة على مساحة عمل Azure أو اشتراكك أو نهجك. قد تحتاج أيضا إلى تلبية متطلبات أخرى لمصدر بيانات الشريك الذي تتصل به.

يتم سرد المتطلبات الأساسية لكل موصل بيانات في هذه المقالة وعلى صفحة موصل البيانات ذات الصلة في Microsoft Sentinel.

تتطلب موصلات البيانات المستندة إلى عامل Azure Monitor (AMA) اتصالا بالإنترنت من النظام الذي تم تثبيت العامل فيه. تمكين المنفذ 443 الصادر للسماح بالاتصال بين النظام حيث يتم تثبيت العامل Microsoft Sentinel.

موصلات Syslog و Common Event Format (CEF)

يتم دعم جمع السجل من العديد من أجهزة الأمان والأجهزة بواسطة موصلات البيانات Syslog عبر AMA أو Common Event Format (CEF) عبر AMA في Microsoft Sentinel. لإعادة توجيه البيانات إلى مساحة عمل Log Analytics الخاصة بك Microsoft Sentinel، أكمل الخطوات الواردة في رسائل Ingest syslog وCEF إلى Microsoft Sentinel باستخدام عامل Azure Monitor. تتضمن هذه الخطوات تثبيت الحل Microsoft Sentinel لجهاز أمان أو جهاز من مركز المحتوى في Microsoft Sentinel. بعد ذلك، قم بتكوين Syslog عبر AMA أو Common Event Format (CEF) عبر موصل بيانات AMA المناسب للحل Microsoft Sentinel الذي قمت بتثبيته. أكمل الإعداد عن طريق تكوين جهاز الأمان أو الجهاز. ابحث عن إرشادات لتكوين جهاز الأمان أو الجهاز في إحدى المقالات التالية:

اتصل بموفر الحل للحصول على مزيد من المعلومات أو إذا كانت المعلومات غير متوفرة للجهاز أو الجهاز.

سجلات مخصصة عبر موصل AMA

تصفية السجلات واستيعابها بتنسيق ملف نصي من تطبيقات الشبكة أو الأمان المثبتة على Windows أو أجهزة Linux باستخدام السجلات المخصصة عبر موصل AMA في Microsoft Sentinel. لمزيد من المعلومات، راجع المقالات التالية:

موصلات بيانات Sentinel

ملاحظة

يسرد الجدول التالي موصلات البيانات المتوفرة في مركز Microsoft Sentinel Content. يتم دعم الموصلات من قبل مورد المنتج. للحصول على الدعم، راجع الارتباط مدعوم بواسطة .

تلميح

للحصول على قائمة بالجداول التي تم استيعابها في Microsoft Sentinel والموصلات التي تدمجها، راجع Microsoft Sentinel الجداول والموصلات المقترنة.

1Password (بلا خادم)

مدعوم من قبل:1Password

يسمح موصل 1Password CCF للمستخدم لاستيعاب 1Password Audit و Signin & ItemUsage في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OnePasswordEventLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • رمز واجهة برمجة تطبيقات 1Password: مطلوب رمز مميز لواجهة برمجة تطبيقات 1Password. راجع وثائق 1Password حول كيفية إنشاء رمز مميز لواجهة برمجة التطبيقات.

إرشادات الإعداد:

الخطوة 1 - إنشاء رمز مميز لواجهة برمجة تطبيقات 1Password:

اتبع وثائق 1Password للحصول على إرشادات حول هذه الخطوة.

الخطوة 2 - اختر عنوان URL الأساسي الصحيح:

هناك العديد من خوادم 1Password التي قد تستضيف الأحداث الخاصة بك. يعتمد الخادم الصحيح على الترخيص والمنطقة. اتبع وثائق 1Password لاختيار الخادم الصحيح. أدخل عنوان URL الأساسي كما هو معروض بواسطة الوثائق (بما في ذلك "https://" ودون "/" لاحقة).

الخطوة 3 - أدخل تفاصيل 1Password:

أدخل عنوان URL الأساسي 1Password & الرمز المميز لواجهة برمجة التطبيقات أدناه:

  • عنوان URL الأساسي: (أدخل عنوان Url الأساسي)
  • الرمز المميز لواجهة برمجة التطبيقات: (أدخل الرمز المميز لواجهة برمجة التطبيقات)
  • تمكين/تعطيل الاتصال



1Password (باستخدام وظائف Azure)

مدعوم من قبل:1Password

يمكنك حل 1Password Microsoft Sentinel من استيعاب محاولات تسجيل الدخول واستخدام العنصر وأحداث التدقيق من حساب 1Password Business باستخدام واجهة برمجة تطبيقات الإبلاغ عن أحداث 1Password. يسمح لك هذا بمراقبة الأحداث والتحقيق فيها في 1Password في Microsoft Sentinel جنبا إلى جنب مع التطبيقات والخدمات الأخرى التي تستخدمها مؤسستك.

تقنيات Microsoft الأساسية المستخدمة:

يعتمد هذا الحل على التقنيات التالية، وقد يكون بعضها في حالة المعاينة أو قد يتحمل تكاليف استيعاب إضافية أو تكاليف تشغيلية:

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OnePasswordEventLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • 1Password Events API Token: مطلوب رمز مميز لواجهة برمجة تطبيقات أحداث 1Password. لمزيد من المعلومات، راجع واجهة برمجة تطبيقات 1Password.

ملاحظه: مطلوب حساب 1Password Business

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب 1Password لسحب السجلات إلى Microsoft Sentinel. قد يؤدي هذا إلى تكاليف استيعاب بيانات إضافية من Azure. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات الإبلاغ عن أحداث 1Password

اتبع هذه الإرشادات التي يوفرها 1Password للحصول على رمز واجهة برمجة تطبيقات تقارير الأحداث. ملاحظه: مطلوب حساب 1Password Business

الخطوة 2 - نشر functionApp باستخدام الزر DeployToAzure لإنشاء الجدول وdcr ودالة Azure المقترنة

الهامه: قبل نشر موصل 1Password، يجب إنشاء جدول مخصص.

الخيار 1 - قالب Azure Resource Manager (ARM)

يوفر هذا الأسلوب توزيعا تلقائيا لموصل 1Password باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل اسم مساحة العمل واسم مساحة العمل ومفتاح واجهة برمجة تطبيقات أحداث 1Password وURI.

  • يتم تعيين الفاصل الزمني الافتراضي إلى خمس (5) دقائق. إذا كنت ترغب في تعديل الفاصل الزمني، يمكنك ضبط Function App Timer Trigger وفقا لذلك (في ملف function.json، بعد التوزيع) لمنع استيعاب البيانات المتداخلة.
  • ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.
  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
  2. انقر فوق شراء للنشر.



الأمان غير الطبيعي (باستخدام وظيفة Azure)

مدعوم من قبل:أمان غير طبيعي

يوفر موصل بيانات الأمان غير الطبيعي القدرة على استيعاب التهديدات وسجلات الحالة في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Rest للأمان غير الطبيعي.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ABNORMAL_THREAT_MESSAGES_CL لا لا
ABNORMAL_CASES_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات الأمان غير طبيعي: مطلوب رمز مميز واجهة برمجة تطبيقات الأمان غير طبيعي. لمزيد من المعلومات، راجع واجهة برمجة تطبيقات الأمان غير طبيعية. ملاحظه: مطلوب حساب أمان غير طبيعي

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات REST للأمان غير الطبيعي لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

الخطوة 1 - خطوات التكوين واجهة برمجة تطبيقات الأمان غير طبيعي

اتبع هذه الإرشادات التي يوفرها الأمان غير الطبيعي لتكوين تكامل واجهة برمجة تطبيقات REST. ملاحظه: مطلوب حساب أمان غير طبيعي

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات الأمان غير الطبيعي، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى الرمز المميز للتخويل غير الطبيعي واجهة برمجة تطبيقات الأمان، المتوفر بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

يوفر هذا الأسلوب توزيعا تلقائيا لموصل الأمان غير الطبيعي باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة عمل Microsoft Sentinel، Microsoft Sentinel المفتاح المشترك ومفتاح واجهة برمجة تطبيقات REST للأمان غير الطبيعي.

  • يتم تعيين الفاصل الزمني الافتراضي لسحب آخر خمس (5) دقائق من البيانات. إذا كان الفاصل الزمني بحاجة إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك (في ملف function.json، بعد التوزيع) لمنع استيعاب البيانات المتداخلة.
  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
  2. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات الأمان غير الطبيعي يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، AbnormalSecurityXX).

    ه. حدد وقت التشغيل: اختر Python 3.8.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد + New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (اختياري) (إضافة أي إعدادات أخرى مطلوبة من قبل Function App) قم بتعيين uri القيمة إلى: <add uri value>

ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Azure Key Vault للحصول على مزيد من التفاصيل.

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي:https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Agent 365

مدعوم من قبل:Microsoft Corporation

يوفر موصل البيانات Agent 365 رؤى أكثر ثراء حول نشاط عامل الذكاء الاصطناعي من خلال إحضار بيانات تتبع الاستخدام لعامل الذكاء الاصطناعي من Agent 365 و AI Foundry و Copilot في مستودع بيانات Microsoft Sentinel للتحقيق في سلوك العامل واستخدام الأدوات والتنفيذ باستخدام مهام سير عمل التتبع والرسم البياني وMCP. يتم استخدام البيانات من هذا الموصل للتحقيق في سلوك عامل الذكاء الاصطناعي واستخدام الأدوات والتنفيذ في Microsoft Sentinel. إذا قمت بتمكين مهام سير العمل هذه، فإن إلغاء تنشيط هذا الموصل سيمنع إجراء هذه التحقيقات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:



AIShield

مدعوم من قبل:AIShield

يسمح موصل AIShield للمستخدمين بالاتصال بسجلات آلية الدفاع المخصصة ل AIShield باستخدام Microsoft Sentinel، ما يسمح بإنشاء لوحات معلومات ديناميكية ومصنفات ودفاتر ملاحظات وتنبيهات مخصصة لتحسين التحقيق وإحباط الهجمات على أنظمة الذكاء الاصطناعي. فهو يمنح المستخدمين مزيدا من الرؤى حول نشر أمان أصول الذكاء الاصطناعي لمؤسستهم ويحسن قدرات عمليات أمان أنظمة الذكاء الاصطناعي الخاصة بهم. يحلل AIShield.GuArdIan المحتوى الذي أنشأته LLM لتحديد المحتوى الضار والتخفيف من حدته، وحماية ضد الانتهاكات القانونية والسياسات المستندة إلى الدور والاستخدام

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AIShield_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • ملاحظة: يجب أن يكون المستخدمون قد استخدموا عرض AIShield SaaS لإجراء تحليل الثغرات الأمنية ونشر آليات دفاع مخصصة تم إنشاؤها جنبا إلى جنب مع أصل الذكاء الاصطناعي الخاص بهم. انقر هنا لمعرفة المزيد أو الاتصال.

إرشادات الإعداد:

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع AIShield الذي يتم نشره باستخدام Microsoft Sentinel Solution.

الهامه: قبل نشر موصل AIShield، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



Alibaba Cloud ActionTrail (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Alibaba Cloud ActionTrail القدرة على استرداد أحداث actiontrail المخزنة في Alibaba Cloud Simple Log Service وتخزينها في Microsoft Sentinel من خلال واجهة برمجة تطبيقات SLS REST. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AliCloudActionTrailLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات SLS REST: AliCloudAccessKeyId و AliCloudAccessKeySecret مطلوبان لإجراء استدعاءات واجهة برمجة التطبيقات. مطلوب بيان نهج RAM مع إجراء atleast log:GetLogStoreLogs عبر المورد acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} لمنح مستخدم RAM الأذونات لاستدعاء هذه العملية.

إرشادات الإعداد:

تكوين الوصول إلى واجهة برمجة تطبيقات AliCloud SLS

قبل استخدام واجهة برمجة التطبيقات، تحتاج إلى إعداد حساب الهوية والوصول إلى زوج المفاتيح للوصول إلى واجهة برمجة التطبيقات بشكل فعال.

  1. نوصي باستخدام مستخدم إدارة الوصول إلى الموارد (RAM) لاستدعاء عمليات واجهة برمجة التطبيقات. لمزيد من المعلومات، راجع إنشاء مستخدم RAM وتخويل مستخدم RAM للوصول إلى Simple Log Service.
  2. احصل على مفتاح الوصول المزدوج لمستخدم RAM. للحصول على التفاصيل، راجع الحصول على زوج مفتاح الوصول.

لاحظ تفاصيل زوج مفتاح الوصول للخطوة التالية.

إضافة ActionTrail Logstore

لتمكين موصل Alibaba Cloud ActionTrail Microsoft Sentinel، انقر فوق إضافة ActionTrail Logstore، واملأ النموذج بتكوين بيئة Alibaba Cloud وانقر فوق Connect.

  • شبكة موصلات البيانات (تكوين في المدخل)



موصل بيانات شبكة السحابة Alibaba (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Alibaba Cloud Networking القدرة على استيعاب بيانات شبكة Alibaba Cloud في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST لخدمة السجل البسيط (SLS). راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يوفر الموصل القدرة على الحصول على سجلات تدفق VPC وسجلات WAF وسجلات بوابة واجهة برمجة التطبيقات من Alibaba Cloud.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AlibabaCloudVPCFlowLogs لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Alibaba Cloud SLS API: مطلوب الوصول إلى Alibaba Cloud Simple Log Service لواجهة برمجة تطبيقات SLS.

إرشادات الإعداد:

تكوين الوصول إلى واجهة برمجة تطبيقات AliCloud SLS

قبل استخدام واجهة برمجة التطبيقات، تحتاج إلى إعداد حساب الهوية والوصول إلى زوج المفاتيح للوصول إلى واجهة برمجة التطبيقات بشكل فعال.

  1. نوصي باستخدام مستخدم إدارة الوصول إلى الموارد (RAM) لاستدعاء عمليات واجهة برمجة التطبيقات. لمزيد من المعلومات، راجع إنشاء مستخدم RAM وتخويل مستخدم RAM للوصول إلى Simple Log Service.
  2. احصل على مفتاح الوصول المزدوج لمستخدم RAM. للحصول على التفاصيل، راجع الحصول على زوج مفتاح الوصول.

لاحظ تفاصيل زوج مفتاح الوصول للخطوة التالية.

  • شبكة موصلات البيانات (تكوين في المدخل)



AliCloud (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات AliCloud القدرة على استرداد السجلات من التطبيقات السحابية باستخدام واجهة برمجة تطبيقات السحابة وتخزين الأحداث في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AliCloud_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: AliCloudAccessKeyId و AliCloudAccessKey مطلوبان لإجراء استدعاءات واجهة برمجة التطبيقات.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات تخزين كائن ثنائي كبير الحجم Azure لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف تخزين Azure Blob. تحقق من صفحة تسعير دالات Azureوصفحة تسعير blob Storage Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى دالة Kusto للعمل كما هو متوقع AliCloud الذي يتم نشره مع حل Microsoft Sentinel.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات AliCloud

اتبع الإرشادات للحصول على بيانات الاعتماد.

  1. احصل على AliCloudAccessKeyId و AliCloudAccessKey: سجل الدخول إلى الحساب، وانقر فوق AccessKey Management ثم انقر فوق View Secret.
  2. احفظ بيانات الاعتماد لاستخدامها في موصل البيانات.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات AliCloud، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات AliCloud باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل WorkspaceID وWorkspaceKey و AliCloudAccessKeyId و AliCloudAccessKey و AliCloudProjects وAppInsightsWorkspaceResourceID وانشر. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات AliCloud يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال AliCloudXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): مساحة عمل WorkspaceIDKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Amazon Web Services

مدعوم من قبل:Microsoft Corporation

تظهر إرشادات الاتصال ب AWS ودفق سجلات CloudTrail إلى Microsoft Sentinel أثناء عملية التثبيت. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSCloudTrail نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Amazon Web Services CloudFront (عبر إطار عمل موصل بدون تعليمات برمجية) (معاينة)

مدعوم من قبل:Microsoft Corporation

يتيح موصل البيانات هذا تكامل سجلات AWS CloudFront مع Microsoft Sentinel لدعم الكشف المتقدم عن التهديدات والتحقيق فيها ومراقبة الأمان. من خلال استخدام Amazon S3 لتخزين السجل وAmazon SQS لتخزين الرسائل في قائمة الانتظار، يدمج الموصل بشكل موثوق سجلات الوصول إلى CloudFront في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSCloudFront_AccessLog_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

استيعاب سجلات AWS CloudFront في Microsoft Sentinel

قائمة الموارد المطلوبة:

  • موفر هوية ويب Open ID Connect (OIDC)
  • دور IAM
  • مستودع Amazon S3
  • Amazon SQS
  • تكوين AWS CloudFront
  1. نشر AWS CloudFormation لتكوين الوصول على AWS، تم إنشاء قالبين لإعداد بيئة AWS لإرسال سجلات من مستودع S3 إلى مساحة عمل Log Analytics.

لكل قالب، قم بإنشاء Stack في AWS:

  1. انتقل إلى AWS CloudFormation Stacks.
  2. اختر الخيار "تحديد قالب"، ثم "تحميل ملف قالب" بالنقر فوق "اختيار ملف" وتحديد ملف قالب CloudFormation المناسب المتوفر أدناه. انقر فوق "اختيار ملف" وحدد القالب الذي تم تنزيله.
  3. انقر فوق "التالي" و"إنشاء مكدس".
  • القالب 1: توزيع مصادقة اتصال OpenID: <قيمة متغيرة متوفرة في وقت التثبيت>
  • القالب 2: توزيع موارد AWSCloudFront: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتوصيل مجمعات جديدة لتمكين AWS S3 Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.
  • شبكة موصلات البيانات (تكوين في المدخل)



Amazon Web Services Elastic Load Balancing (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يتيح لك موصل موازنة التحميل المرنة AWS (ELB) Microsoft Sentinel استيعاب سجلات الوصول وسجلات التدفق من موازنات تحميل تطبيق AWS (ALB) وموازنات تحميل الشبكة (NLB) وموازنات تحميل البوابة (GLB) في Microsoft Sentinel. توفر هذه السجلات معلومات مفصلة حول الطلبات التي تتم معالجتها بواسطة موازنات التحميل وتدفقات نسبة استخدام الشبكة VPC، ما يتيح مراقبة الأمان واكتشاف التهديدات وتحليل نسبة استخدام الشبكة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSALBAccessLogsData لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • AWS IAM Role ARN وقائمة انتظار SQS: مطلوب AWS IAM Role ARN مع الوصول عبر الحساب وعنوان URL لقائمة انتظار SQS الذي تم تكوينه لإشعارات أحداث S3. راجع وثائق موصل AWS ELB للحصول على إرشادات الإعداد.

إرشادات الإعداد:

  1. نشر AWS CloudFormation لتكوين الوصول على AWS، استخدم قوالب CloudFormation لإعداد البيئة لإرسال سجلات من ALB وNLB و GLB إلى مساحة عمل Log Analytics.

خطوات التوزيع:

  1. انتقل إلى Cloud Formation Templates، وقم بتنزيل ملفات قالب JSON.
  2. انتقل إلى AWS CloudFormation Stacks.
  3. قم أولا بتوزيع قالب OIDCWebIdProvider.json (تخطي إذا كان لديك بالفعل موفر OIDC Microsoft Sentinel).
  4. ثم انشر قالب AWSS3ELB.json مع المعلمات الخاصة بك.
  5. دون القيم التالية من مخرجات المكدس:
    • IAMRoleArn
    • ALBSQSQueueURL
    • NLBSQSQueueURL
    • NLBFlowLogsSQSQueueURL
    • GLBFlowLogsSQSQueueURL

تكوين ما بعد التوزيع:

بمجرد نشر مكدس CloudFormation بنجاح:

  • انتقل إلى علامة التبويب الموارد في المكدس.
  • حدد موقع اسم مستودع S3 الذي تم إنشاؤه.
  • في مستودع S3، قم بإنشاء المجلدات التالية يدويا:
    • ALBLogs
    • NLBAccessLogs
    • NLBFlowLogs
    • GLBFlowLogs

إرسال السجلات:

بعد إنشاء المجلد، قم بتكوين خدمات AWS لإرسال السجلات إلى المجلدات المناسبة:

  • سجلات الوصول إلى ALB ->ALBLogs/
  • سجلات الوصول إلى NLB ->NLBAccessLogs/
  • سجلات تدفق NLB ->NLBFlowLogs/
  • سجلات تدفق GLB ->GLBFlowLogs/

سيتم استيعاب هذه السجلات في الجداول المقابلة في مساحة عمل Log Analytics.

تعيين الجدول:

  • سجلات الوصول إلى ALB ->AWSALBAccessLogsData
  • سجلات الوصول إلى NLB ->AWSNLBAccessLogsData
  • سجلات تدفق NLB و GLB ->AWSELBFlowLogsData

ملاحظه: في AWSELBFlowLogsData الجدول، سيشير العمود المسمى LogType إلى ما إذا كان الصف من سجلات تدفق NLB أو سجلات تدفق GLB.

  1. قم بتوصيل مجمعات جديدة لتمكين الموصل، انقر فوق إضافة مجمع جديد، وأدخل التفاصيل المطلوبة، وانقر فوق اتصال.
  • شبكة موصلات البيانات (تكوين في المدخل)



Amazon Web Services NetworkFirewall (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يتيح لك موصل البيانات هذا استيعاب سجلات جدار حماية شبكة AWS في Microsoft Sentinel للكشف المتقدم عن التهديدات ومراقبة الأمان. من خلال الاستفادة من Amazon S3 وAmazon SQS، يقوم الموصل بإعادة توجيه سجلات نسبة استخدام الشبكة وتنبيهات الكشف عن التسلل وأحداث جدار الحماية إلى Microsoft Sentinel، ما يتيح التحليل والارتباط في الوقت الحقيقي ببيانات الأمان الأخرى

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSNetworkFirewallFlow نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

استيعاب سجلات AWS NetworkFirewall في Microsoft Sentinel

قائمة الموارد المطلوبة:

  • موفر هوية ويب Open ID Connect (OIDC)
  • دور IAM
  • مستودع Amazon S3
  • Amazon SQS
  • تكوين AWSNetworkFirewall
  • اتبع هذه الإرشادات لتكوين موصل بيانات AWS NetworkFirewall
  1. نشر AWS CloudFormation لتكوين الوصول على AWS، تم إنشاء قالبين لإعداد بيئة AWS لإرسال سجلات من مستودع S3 إلى مساحة عمل Log Analytics.

لكل قالب، قم بإنشاء Stack في AWS:

  1. انتقل إلى AWS CloudFormation Stacks.
  2. اختر الخيار "تحديد قالب"، ثم "تحميل ملف قالب" بالنقر فوق "اختيار ملف" وتحديد ملف قالب CloudFormation المناسب المتوفر أدناه. انقر فوق "اختيار ملف" وحدد القالب الذي تم تنزيله.
  3. انقر فوق "التالي" و"إنشاء مكدس".
  • القالب 1: توزيع مصادقة اتصال OpenID: <قيمة متغيرة متوفرة في وقت التثبيت>
  • القالب 2: توزيع موارد AWSNetworkFirewall: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتوصيل مجمعات جديدة لتمكين AWS S3 Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.
  • شبكة موصلات البيانات (تكوين في المدخل)



Amazon Web Services S3

مدعوم من قبل:Microsoft Corporation

يتيح لك هذا الموصل استيعاب سجلات خدمة AWS، التي تم جمعها في مستودعات AWS S3، Microsoft Sentinel. أنواع البيانات المدعومة حاليا هي:

  • AWS CloudTrail
  • سجلات تدفق VPC
  • AWS GuardDuty
  • AWSCloudWatch

لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSGuardDuty نعم نعم
AWSVPCFlow نعم نعم
AWSCloudTrail نعم نعم
AWSCloudWatch نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • البيئة: يجب أن يكون لديك موارد AWS التالية محددة ومكونة: S3 وخدمة قائمة الانتظار البسيطة (SQS) وأدوار IAM ونهج الأذونات وخدمات AWS التي تريد جمع سجلاتها.

إرشادات الإعداد:

1. إعداد بيئة AWS الخاصة بك

هناك خياران لإعداد بيئة AWS لإرسال السجلات من مستودع S3 إلى مساحة عمل Log Analytics:

الإعداد باستخدام برنامج PowerShell النصي (مستحسن)

  • تشغيل البرنامج النصي لإعداد البيئة: <قيمة متغيرة متوفرة في وقت التثبيت>
  • الهوية الخارجية (معرف مساحة العمل): <قيمة متغيرة متوفرة في وقت التثبيت>

الإعداد اليدوي

اتبع التعليمات الواردة في الارتباط التالي لإعداد البيئة: توصيل AWS S3 إلى Microsoft Sentinel

2. إضافة اتصال



Amazon Web Services S3 DNS Route53 (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يتيح هذا الموصل استيعاب سجلات AWS Route 53 DNS في Microsoft Sentinel لتحسين الرؤية واكتشاف التهديدات. وهو يدعم سجلات استعلام محلل DNS التي يتم استيعابها مباشرة من مستودعات AWS S3، بينما يمكن استيعاب سجلات استعلام DNS العامة وسجلات تدقيق المسار 53 باستخدام موصلات AWS CloudWatch وCloudTrail Microsoft Sentinel. يتم توفير إرشادات شاملة لإرشادك خلال إعداد كل نوع سجل. استفد من هذا الموصل لمراقبة نشاط DNS، واكتشاف التهديدات المحتملة، وتحسين وضع الأمان في بيئات السحابة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSRoute53Resolver نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

AWS Route53

يتيح هذا الموصل استيعاب سجلات AWS Route 53 DNS في Microsoft Sentinel، ما يوفر رؤية محسنة لنشاط DNS وتعزيز قدرات الكشف عن التهديدات. وهو يدعم الاستيعاب المباشر لسجلات استعلام محلل DNS من مستودعات AWS S3، بينما يمكن استيعاب سجلات استعلام DNS العامة وسجلات تدقيق المسار 53 عبر موصلات AWS CloudWatch وCloudTrail Microsoft Sentinel. يتم توفير إرشادات الإعداد التفصيلية لكل نوع سجل. استخدم هذا الموصل لمراقبة حركة مرور DNS، وتحديد التهديدات المحتملة، وتحسين وضع أمان السحابة.

يمكنك استيعاب النوع التالي من السجلات من AWS Route 53 إلى Microsoft Sentinel:

  1. توجيه سجلات استعلام المحلل 53
  2. توجيه 53 سجل استعلام المناطق المستضافة العامة (عبر موصل Microsoft Sentinel CloudWatch)
  3. توجيه 53 سجل تدقيق (عبر Microsoft Sentinel موصل CloudTrail)

استيعاب سجلات استعلام Route53 Resolver في Microsoft Sentinel

قائمة الموارد المطلوبة:

  • موفر هوية ويب Open ID Connect (OIDC)
  • دور IAM
  • مستودع Amazon S3
  • Amazon SQS
  • تكوين تسجيل استعلام Route 53 Resolver
  • VPC لإقرانه بتكون سجل استعلام Route53 Resolver
  1. نشر AWS CloudFormation لتكوين الوصول على AWS، تم إنشاء قالبين لإعداد بيئة AWS لإرسال سجلات من مستودع S3 إلى مساحة عمل Log Analytics.

لكل قالب، قم بإنشاء Stack في AWS:

  1. انتقل إلى AWS CloudFormation Stacks.
  2. اختر الخيار "تحديد قالب"، ثم "تحميل ملف قالب" بالنقر فوق "اختيار ملف" وتحديد ملف قالب CloudFormation المناسب المتوفر أدناه. انقر فوق "اختيار ملف" وحدد القالب الذي تم تنزيله.
  3. انقر فوق "التالي" و"إنشاء مكدس".
  • القالب 1: توزيع مصادقة اتصال OpenID: <قيمة متغيرة متوفرة في وقت التثبيت>
  • القالب 2: توزيع موارد AWS Route53: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتوصيل مجمعين جدد لتمكين Amazon Web Services S3 DNS Route53 for Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.
  • شبكة موصلات البيانات (تكوين في المدخل)

استيعاب سجلات استعلام المناطق العامة المستضافة في المسار 53 (عبر موصل Microsoft Sentinel CloudWatch)

يتم تصدير سجلات استعلام المنطقة المستضافة العامة إلى خدمة CloudWatch في AWS. يمكننا استخدام موصل "Amazon Web Services S3" لاستيعاب سجلات CloudWatch من AWS إلى Microsoft Sentinel.

الخطوة 1: تكوين تسجيل استعلامات DNS العامة

  1. سجل الدخول إلى وحدة تحكم إدارة AWS وافتح وحدة تحكم Route 53 في AWS Route 53.
  2. انتقل إلى توجيه 53 > منطقة مستضافة.
  3. اختر المنطقة المستضافة العامة التي تريد تكوين تسجيل الاستعلام لها.
  4. في جزء تفاصيل المنطقة المستضافة، انقر فوق "تكوين تسجيل الاستعلام".
  5. اختر مجموعة سجلات موجودة أو أنشئ مجموعة سجلات جديدة.
  6. اختر إنشاء.

الخطوة 2: تكوين موصل بيانات Amazon Web Services S3 ل AWS CloudWatch

يمكن تصدير سجلات AWS CloudWatch إلى مستودع S3 باستخدام دالة lambda. لاستيعاب استعلامات DNS العامة من AWS CloudWatch إلى S3 مستودع ثم إلى Microsoft Sentinel، اتبع الإرشادات المتوفرة في موصل Amazon Web Services S3.

استيعاب سجلات تدقيق المسار 53 (عبر Microsoft Sentinel موصل CloudTrail)

يمكن تصدير سجلات تدقيق المسار 53، أي السجلات المتعلقة بالإجراءات التي يتخذها المستخدم أو الدور أو خدمة AWS في Route 53 إلى مستودع S3 عبر خدمة AWS CloudTrail. يمكننا استخدام موصل "Amazon Web Services S3" لاستيعاب سجلات CloudTrail من AWS إلى Microsoft Sentinel.

الخطوة 1: تكوين التسجيل لسجلات تدقيق AWS Route 53

  1. سجل الدخول إلى وحدة تحكم إدارة AWS وافتح وحدة تحكم CloudTrail في AWS CloudTrail
  2. إذا لم يكن لديك مسار موجود، فانقر فوق "إنشاء مسار"
  3. أدخل اسما لسجلك في حقل اسم المسار.
  4. حدد إنشاء مستودع S3 جديد (يمكنك أيضا اختيار استخدام مستودع S3 موجود).
  5. اترك الإعدادات الأخرى كافتراضية، وانقر فوق التالي.
  6. حدد نوع الحدث، وتأكد من تحديد أحداث الإدارة.
  7. حدد نشاط واجهة برمجة التطبيقات و"قراءة" و"كتابة"
  8. انقر فوق "التالي".
  9. راجع الإعدادات وانقر فوق "إنشاء مسار".

الخطوة 2: تكوين موصل بيانات Amazon Web Services S3 ل AWS CloudTrail

لاستيعاب سجلات التدقيق والإدارة من AWS CloudTrail إلى Microsoft Sentinel، اتبع الإرشادات الواردة في موصل Amazon Web Services S3



Amazon Web Services S3 WAF

مدعوم من قبل:Microsoft Corporation

يتيح لك هذا الموصل استيعاب سجلات AWS WAF، التي تم جمعها في مستودعات AWS S3، Microsoft Sentinel. سجلات AWS WAF هي سجلات مفصلة لنسبة استخدام الشبكة التي تحللها قوائم التحكم في الوصول إلى الويب (ACLs)، وهي ضرورية للحفاظ على أمان تطبيقات الويب وأدائها. تحتوي هذه السجلات على معلومات مثل وقت تلقي AWS WAF للطلب وخصوصيات الطلب والإجراء الذي اتخذته القاعدة التي تطابق الطلب.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSWAF نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

  1. نشر AWS CloudFormation لتكوين الوصول على AWS، تم إنشاء قالبين لإعداد بيئة AWS لإرسال سجلات من مستودع S3 إلى مساحة عمل Log Analytics.

لكل قالب، قم بإنشاء Stack في AWS:

  1. انتقل إلى AWS CloudFormation Stacks.
  2. اختر الخيار "تحديد قالب"، ثم "تحميل ملف قالب" بالنقر فوق "اختيار ملف" وتحديد ملف قالب CloudFormation المناسب المتوفر أدناه. انقر فوق "اختيار ملف" وحدد القالب الذي تم تنزيله.
  3. انقر فوق "التالي" و"إنشاء مكدس".
  • القالب 1: توزيع مصادقة اتصال OpenID: <قيمة متغيرة متوفرة في وقت التثبيت>
  • القالب 2: توزيع موارد AWS WAF: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتوصيل مجمعات جديدة لتمكين AWS S3 Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.
  • شبكة موصلات البيانات (تكوين في المدخل)



سجلات غير رسمية

مدعوم من قبل:Anvilogic

يسمح لك موصل البيانات Anvilogic بسحب الأحداث ذات الاهتمام التي تم إنشاؤها في مجموعة Anvilogic ADX إلى Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Anvilogic_Alerts_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • معرف عميل تسجيل التطبيق Anvilogic وسر العميل: للوصول إلى Anvilogic ADX، نطلب معرف العميل وسر العميل من تسجيل تطبيق Anvilogic

إرشادات الإعداد:

اتصل ب Anvilogic لبدء جمع الأحداث المهمة في Microsoft Sentinel

أكمل النموذج لاستيعاب تنبيهات Anvilogic في Microsoft Sentinel

  • نقطة نهاية الرمز المميز: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
  • نطاق ADX Anvilogic: (<avl_adx_uri>/.default)
  • Anvilogic ADX Request URI: (<avl_adx_uri>/v2/rest/query)



ARGOS Cloud Security

مدعوم من قبل:ARGOS Cloud Security

يتيح لك تكامل ARGOS Cloud Security Microsoft Sentinel الحصول على جميع أحداث أمان السحابة المهمة في مكان واحد. يمكنك هذا من إنشاء لوحات المعلومات والتنبيهات وربط الأحداث بسهولة عبر أنظمة متعددة. بشكل عام، سيؤدي ذلك إلى تحسين الوضع الأمني لمؤسستك والاستجابة للحوادث الأمنية.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ARGOS_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

1. الاشتراك في ARGOS

تأكد من أنك تملك بالفعل اشتراك ARGOS. إذا لم يكن الأمر كما هو، فاستعرض للوصول إلى ARGOS Cloud Security وقم بالتسجيل في ARGOS.

بدلا من ذلك، يمكنك أيضا شراء ARGOS عبر Azure Marketplace.

2. تكوين تكامل Sentinel من ARGOS

قم بتكوين ARGOS لإعادة توجيه أي اكتشافات جديدة إلى مساحة عمل Sentinel عن طريق تزويد ARGOS بمعرف مساحة العمل والمفتاح الأساسي.

ليست هناك حاجة لتوزيع أي بنية أساسية مخصصة.

أدخل المعلومات في صفحة تكوين Sentinel ARGOS.

ستتم إعادة توجيه عمليات الكشف الجديدة تلقائيا.

تعرف على المزيد حول التكامل

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



أنشطة تنبيهات Armis (باستخدام وظائف Azure)

مدعوم من قبل:Armis Corporation

يمنح موصل أنشطة تنبيهات Armis القدرة على استيعاب تنبيهات وأنشطة Armis في Microsoft Sentinel من خلال واجهة برمجة تطبيقات Armis REST. راجع وثائق واجهة برمجة التطبيقات: https://<YourArmisInstance>.armis.com/api/v1/docs لمزيد من المعلومات. يوفر الموصل القدرة على الحصول على معلومات التنبيه والنشاط من منصة Armis وتحديد التهديدات وتحديد أولوياتها في بيئتك. يستخدم Armis بنيتك الأساسية الحالية لاكتشاف الأجهزة وتحديدها دون الحاجة إلى نشر أي عوامل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Armis_Alerts_CL لا لا
Armis_Activities_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مفتاح Armis السري مطلوب. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على https://<YourArmisInstance>.armis.com/api/v1/doc

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Armis لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار ArmisActivities/ArmisAlerts وقم بتحميل التعليمات البرمجية للدالة. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Armis

اتبع هذه الإرشادات لإنشاء مفتاح سري لواجهة برمجة تطبيقات Armis.

  1. تسجيل الدخول إلى مثيل Armis الخاص بك
  2. انتقل إلى Settings -> API Management
  3. إذا لم يتم إنشاء المفتاح السري بالفعل، فاضغط على الزر Create لإنشاء المفتاح السري
  4. للوصول إلى المفتاح السري، اضغط على الزر إظهار
  5. يمكن الآن نسخ المفتاح السري واستخدامه أثناء تكوين موصل أنشطة تنبيهات Armis

الخطوة 2 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ موصل بيانات أنشطة تنبيهات Armis.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 3 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ موصل بيانات أنشطة تنبيهات Armis. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ موصل بيانات أنشطة تنبيهات Armis.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 4 - تعيين دور المساهم للتطبيق في Microsoft Entra ID

اتبع الخطوات الواردة في هذا القسم لتعيين الدور:

  1. في مدخل Azure، انتقل إلى مجموعة الموارد وحدد مجموعة الموارد الخاصة بك.
  2. انتقل إلى Access control (IAM) من اللوحة اليسرى.
  3. انقر فوق إضافة، ثم حدد إضافة تعيين دور.
  4. حدد المساهم كدور وانقر فوق التالي.
  5. في تعيين الوصول إلى، حدد User, group, or service principal.
  6. انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
  7. انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.

رابط المرجع:/azure/role-based-access-control/role-assignments-portal

الخطوة 5 - إنشاء Keyvault

اتبع هذه الإرشادات لإنشاء Keyvault جديد.

  1. في مدخل Azure، انتقل إلى Key vaults. انقر فوق إنشاء.
  2. حدد Subsciption و Resource Group وقدم اسما فريدا ل keyvault.

ملاحظة: إنشاء مخزن مفاتيح منفصل لكل مفتاح API داخل مساحة عمل واحدة.

الخطوة 6 - إنشاء نهج الوصول في Keyvault

اتبع هذه الإرشادات لإنشاء نهج الوصول في Keyvault.

  1. انتقل إلى keyvaults، وحدد keyvault، وانتقل إلى Access policies على اللوحة الجانبية اليسرى. انقر فوق إنشاء.
  2. حدد جميع المفاتيح & أذونات البيانات السرية. انقر فوق التالي.
  3. في القسم الأساسي، ابحث حسب اسم التطبيق الذي تم إنشاؤه في الخطوة - 2. انقر فوق التالي.

ملاحظة: تأكد من تعيين نموذج الإذن في تكوين الوصول Key Vault إلى "نهج الوصول إلى المخزن"

الخطوة 7 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات أنشطة تنبيهات Armis، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..، بالإضافة إلى مفتاح (مفاتيح) تخويل API Armis

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل Armis.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Function Name Workspace ID Key Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Alert Table Name
    خطورة اسم جدول نشاط Armis (افتراضي: منخفض) اسم جدول Armis KeyVault Azure معرف العميل Azure معرف المستأجر السري للعميل

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات أنشطة تنبيهات Armis يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال ARMISXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد + New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، بقيمها الخاصة (حساسة لحالة الأحرف): مفتاح مساحة عمل معرف مساحة العمل Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Alert Table Name Armis Activity Table Name Severity (Default: Low) Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant LogAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



أجهزة Armis (باستخدام وظائف Azure)

مدعوم من قبل:Armis Corporation

يمنح موصل جهاز Armis القدرة على استيعاب أجهزة Armis في Microsoft Sentinel من خلال واجهة برمجة تطبيقات Armis REST. راجع وثائق واجهة برمجة التطبيقات: https://<YourArmisInstance>.armis.com/api/v1/docs لمزيد من المعلومات. يوفر الموصل القدرة على الحصول على معلومات الجهاز من النظام الأساسي Armis. يستخدم Armis بنيتك الأساسية الحالية لاكتشاف الأجهزة وتحديدها دون الحاجة إلى نشر أي عوامل. يمكن أن يتكامل Armis أيضا مع أدوات إدارة أمان & تكنولوجيا المعلومات الحالية لتحديد وتصنيف كل جهاز، مدار أو غير مدار في بيئتك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Armis_Devices_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مفتاح Armis السري مطلوب. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على https://<YourArmisInstance>.armis.com/api/v1/doc

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Armis لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظة: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. اتبع هذه الخطوات لإنشاء الاسم المستعار لوظائف Kusto، ArmisDevice

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Armis

اتبع هذه الإرشادات لإنشاء مفتاح سري لواجهة برمجة تطبيقات Armis.

  1. تسجيل الدخول إلى مثيل Armis الخاص بك
  2. انتقل إلى Settings -> API Management
  3. إذا لم يتم إنشاء المفتاح السري بالفعل، فاضغط على الزر Create لإنشاء المفتاح السري
  4. للوصول إلى المفتاح السري، اضغط على الزر إظهار
  5. يمكن الآن نسخ المفتاح السري واستخدامه أثناء تكوين موصل جهاز Armis

الخطوة 2 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ موصل بيانات جهاز Armis.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 3 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ موصل بيانات جهاز Armis. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ موصل بيانات جهاز Armis.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 4 - تعيين دور المساهم للتطبيق في Microsoft Entra ID

اتبع الخطوات الواردة في هذا القسم لتعيين الدور:

  1. في مدخل Azure، انتقل إلى مجموعة الموارد وحدد مجموعة الموارد الخاصة بك.
  2. انتقل إلى Access control (IAM) من اللوحة اليسرى.
  3. انقر فوق إضافة، ثم حدد إضافة تعيين دور.
  4. حدد المساهم كدور وانقر فوق التالي.
  5. في تعيين الوصول إلى، حدد User, group, or service principal.
  6. انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
  7. انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.

رابط المرجع:/azure/role-based-access-control/role-assignments-portal

الخطوة 5 - إنشاء Keyvault

اتبع هذه الإرشادات لإنشاء Keyvault جديد.

  1. في مدخل Azure، انتقل إلى Key vaults. انقر فوق إنشاء.
  2. حدد Subsciption و Resource Group وقدم اسما فريدا ل keyvault.

ملاحظة: إنشاء مخزن مفاتيح منفصل لكل مفتاح API داخل مساحة عمل واحدة.

الخطوة 6 - إنشاء نهج الوصول في Keyvault

اتبع هذه الإرشادات لإنشاء نهج الوصول في Keyvault.

  1. انتقل إلى keyvaults، وحدد keyvault، وانتقل إلى Access policies على اللوحة الجانبية اليسرى. انقر فوق إنشاء.
  2. حدد جميع المفاتيح & أذونات البيانات السرية. انقر فوق التالي.
  3. في القسم الأساسي، ابحث حسب اسم التطبيق الذي تم إنشاؤه في الخطوة - 2. انقر فوق التالي.

ملاحظة: تأكد من تعيين نموذج الإذن في تكوين الوصول Key Vault إلى "نهج الوصول إلى المخزن"

الخطوة 7 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات جهاز Armis، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..، بالإضافة إلى مفتاح (مفاتيح) تخويل API Armis

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل Armis.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Function Name Workspace ID Key Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant Id

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات جهاز Armis يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال ARMISXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد + New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، بقيمها الخاصة (حساسة لحالة الأحرف): معرف مساحة العمل مفتاح مساحة العمل Armis Secret Key Armis URL (https://< armis-instance.armis.com/api/v1/>) Armis Device Table Name Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



تنبيهات Atlassian Beacon

مدعوم من قبل:DEFEND Ltd.

Atlassian Beacon هو منتج سحابي تم إنشاؤه للكشف عن التهديدات الذكية عبر الأنظمة الأساسية Atlassian (Jira وConfluence و Atlassian مسؤول). يمكن أن يساعد هذا المستخدمين في اكتشاف نشاط المستخدم الخطر وفحصه والاستجابة له لمجموعة منتجات Atlassian. الحل هو موصل بيانات مخصص من DEFEND Ltd. يستخدم لتصور التنبيهات التي تم تناولها من Atlassian Beacon إلى Microsoft Sentinel عبر Logic App.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
atlassian_beacon_alerts_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

1. Microsoft Sentinel

  1. انتقل إلى Logic App المثبت حديثا "Atlassian Beacon Integration"

  2. انتقل إلى "مصمم تطبيق المنطق"

  3. قم بتوسيع "عند تلقي طلب HTTP"

  4. نسخ "HTTP POST URL"

2- Atlassian Beacon

  1. تسجيل الدخول إلى Atlassian Beacon باستخدام حساب مسؤول

  2. انتقل إلى "إعادة توجيه SIEM" ضمن الإعدادات

  3. لصق عنوان URL المنسخ من Logic App في مربع النص

  4. انقر فوق الزر "حفظ"

3. الاختبار والتحقق من الصحة

  1. تسجيل الدخول إلى Atlassian Beacon باستخدام حساب مسؤول

  2. انتقل إلى "إعادة توجيه SIEM" ضمن الإعدادات

  3. انقر فوق الزر "اختبار" بجوار خطاف الويب الذي تم تكوينه حديثا

  4. انتقل إلى Microsoft Sentinel

  5. انتقل إلى Logic App المثبت حديثا

  6. تحقق من تشغيل Logic App ضمن "محفوظات التشغيل"

  7. التحقق من وجود سجلات تحت اسم الجدول "atlassian_beacon_alerts_CL" في "السجلات"

  8. إذا تم تمكين القاعدة التحليلية، يجب أن يكون تنبيه الاختبار أعلاه قد أنشأ حادثا في Microsoft Sentinel



Atlassian Confluence Audit (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Atlassian Confluence Audit القدرة على استيعاب أحداث سجلات تدقيق Confluence في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ConfluenceAuditLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الوصول إلى Atlassian Confluence API: مطلوب إذن إدارة Confluence للوصول إلى Confluence Audit logs API. راجع وثائق Confluence API لمعرفة المزيد حول واجهة برمجة تطبيقات التدقيق.

إرشادات الإعداد:

اتصل ب Atlassian Confluence API لبدء جمع سجلات التدقيق في Microsoft Sentinel

لتمكين موصل Atlassian Confluence Microsoft Sentinel، انقر لإضافة مؤسسة، واملأ النموذج ببيانات اعتماد بيئة Confluence وانقر فوق Connect. اتبع هذه الخطوات لإنشاء رمز مميز لواجهة برمجة التطبيقات.

  • شبكة موصلات البيانات (تكوين في المدخل)



Atlassian Jira Audit (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات تدقيق Atlassian Jira القدرة على استيعاب أحداث سجلات تدقيق Jira في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Jira_Audit_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: JiraAccessToken، JiraUsername مطلوب لواجهة برمجة تطبيقات REST. لمزيد من المعلومات، راجع واجهة برمجة التطبيقات. تحقق من جميع المتطلبات واتبع الإرشادات للحصول على بيانات الاعتماد.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Jira REST لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظة: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. اتبع هذه الخطوات لإنشاء الاسم المستعار لدالات Kusto، JiraAudit

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Jira

اتبع الإرشادات للحصول على بيانات الاعتماد.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات مساحة العمل، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات تدقيق Jira باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل JiraAccessToken، JiraUsername، JiraHomeSiteName (جزء اسم الموقع القصير، كمثال HOMESITENAME من https://community.atlassian.com) وانشر. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات تدقيق Jira يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال JiraAuditXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Atlassian Jira Audit (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات تدقيق Atlassian Jira القدرة على استيعاب أحداث سجلات تدقيق Jira في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Jira_Audit_v2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

إرشادات الإعداد:

لتمكين موصل Atlassian Jira Microsoft Sentinel، انقر لإضافة مؤسسة، واملأ النموذج ببيانات اعتماد بيئة Jira وانقر فوق Connect. اتبع هذه الخطوات لإنشاء رمز مميز لواجهة برمجة التطبيقات.

  • شبكة موصلات البيانات (تكوين في المدخل)



سجلات Auth0 (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يسمح موصل بيانات Auth0 بدمج السجلات من واجهة برمجة تطبيقات Auth0 في Microsoft Sentinel. تم إنشاء موصل البيانات على Microsoft Sentinel Codeless Connector Framework. يستخدم Auth0 API لجلب السجلات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل بيانات الأمان المستلمة في جدول مخصص بحيث لا تحتاج الاستعلامات إلى تحليلها مرة أخرى، مما يؤدي إلى أداء أفضل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Auth0Logs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات إدارة Auth0

اتبع الإرشادات للحصول على بيانات الاعتماد.

  1. في لوحة معلومات Auth0، انتقل إلى [تطبيقات التطبيقات>]
  2. حدد التطبيق الخاص بك. يجب أن يكون هذا تطبيق [من جهاز إلى جهاز] تم تكوينه بأذونات [read:logs] و[read:logs_users] على الأقل.
  3. نسخ [المجال، معرف العميل، سر العميل]
  • عنوان URL لواجهة برمجة التطبيقات الأساسية: (https://example.auth0.com)
  • معرف العميل: (معرف العميل)
  • سر العميل: (رمز API المميز)
  • تمكين/تعطيل الاتصال



Logic WebCTRL التلقائي

مدعوم من قبل:Microsoft Corporation

يمكنك دفق سجلات التدقيق من خادم WebCTRL SQL المستضاف على أجهزة Windows المتصلة Microsoft Sentinel. يمكنك هذا الاتصال من عرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. وهذا يعطي رؤى حول أنظمة التحكم الصناعية التي تتم مراقبتها أو التحكم فيها بواسطة تطبيق WebCTRL BAS.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Event نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

1. تثبيت وكيل Microsoft ل Windows وإلحاقه.

تعرف على إعداد العامل وإعداد أحداث windows.

يمكنك تخطي هذه الخطوة إذا قمت بالفعل بتثبيت عامل Microsoft لنظام التشغيل Windows

2. تكوين مهمة Windows لقراءة بيانات التدقيق وكتابتها في أحداث windows

قم بتثبيت المهمة المجدولة في Windows وتكوينها لقراءة سجلات التدقيق في SQL وكتابتها كأحداث Windows. سيتم تجميع أحداث Windows هذه بواسطة العامل وإعادة توجيهها إلى Microsoft Sentinel.

لاحظ أنه سيتم تخزين البيانات من جميع الأجهزة في مساحة العمل المحددة

2.1 انسخ ملفات الإعداد إلى موقع على الخادم.

2.2 تحديث معلمات البرنامج النصي ALC-WebCTRL-AuditPull.ps1 (المنسخة في الخطوة أعلاه) مثل اسم قاعدة البيانات الهدف ومعرف حدث windows. راجع التعليقات في البرنامج النصي لمزيد من التفاصيل.

2.3 تحديث إعدادات مهمة windows في ملف ALC-WebCTRL-AuditPullTaskConfig.xml الذي تم نسخه في الخطوة أعلاه وفقا للمتطلبات. راجع التعليقات في الملف لمزيد من التفاصيل.

2.4 تثبيت مهام windows باستخدام التكوينات المحدثة المنسخة في الخطوات المذكورة أعلاه

  • قم بتشغيل الأمر التالي في powershell من الدليل حيث يتم نسخ ملفات الإعداد في الخطوة 2.1: <القيمة المتغيرة المتوفرة في وقت التثبيت>

3. التحقق من صحة الاتصال

اتبع الإرشادات للتحقق من صحة الاتصال:

افتح Log Analytics للتحقق مما إذا كانت السجلات مستلمة باستخدام مخطط الحدث.

قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.

إذا لم يتم تلقي السجلات، فتحقق من صحة الخطوات أدناه لأي مشكلات في وقت التشغيل:

  1. تأكد من إنشاء المهمة المجدولة ومن أنها في حالة التشغيل في Windows Task Scheduler.

  2. التحقق من وجود أخطاء في تنفيذ المهمة في علامة تبويب المحفوظات في Windows Task Scheduler للمهمة التي تم إنشاؤها حديثا في الخطوة 2.4

  3. تأكد من أن جدول تدقيق SQL يتكون من سجلات جديدة أثناء تشغيل مهمة windows المجدولة.



موصل بيانات AWS EKS (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات AWS EKS القدرة على استيعاب سجلات التدقيق من Amazon Elastic Kubernetes Service إلى Microsoft Sentinel. يركز هذا الموصل على سجلات تدقيق EKS (تنسيق JSON) التي تحتوي على معلومات مفصلة حول طلبات خادم واجهة برمجة التطبيقات وقرارات المصادقة وأنشطة نظام المجموعة. يستخدم الموصل AWS SQS لتلقي إعلامات عند تصدير ملفات سجل تدقيق جديدة إلى S3، ما يضمن مراقبة الأمان في الوقت الحقيقي وتتبع التوافق لمجموعات Kubernetes الخاصة بك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSEKSLogs_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

1. توزيع AWS CloudFormation

استخدم قوالب CloudFormation المتوفرة لتكوين بيئة AWS لإرسال السجلات من AWS EKS إلى مساحة عمل Log Analytics.

توزيع قوالب CloudFormation في AWS:

  1. انتقل إلى مكدسات AWS CloudFormation.
  2. انقر فوق Create stack وحدد With new resources.
  3. اختر تحميل ملف قالب، ثم انقر فوق اختيار ملف لتحميل قالب CloudFormation المناسب (القالب 1 و2 أدناه) المتوفر.
  4. اتبع المطالبات وانقر فوق التالي لإكمال إنشاء المكدس.
  5. بعد إنشاء المكدسات، تنقل إلى قسم Outputs . تشغيل البرامج النصية في الخطوة 1 و2 من قسم الإخراج، فإنه دفق السجل من eks إلى sqs.
  6. في نفس قسم المخرجات، لاحظ عنوان URL لقائمة انتظار Role ARN وSQS التي سيتم استخدامها في موصل الاتصال.
  • القالب 1: توزيع موفر مصادقة OpenID Connect: <قيمة متغيرة متوفرة في وقت التثبيت>
  • القالب 2: توزيع موارد AWS EKS: <قيمة متغيرة متوفرة في وقت التثبيت>

2. توصيل مجمعين جدد

لتمكين AWS Security Hub Connector for Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.

  • SentinelRoleArn: (AWS IAM Role ARN للوصول عبر الحسابات (على سبيل المثال، arn:aws:iam::123456789012:role/SentinelRole))
  • SentinelSQSQueueURL: (عنوان URL الكامل لقائمة انتظار AWS EKS (على سبيل المثال، https://sqs.region.amazonaws.com/account-id/queue-name))

3. الاتصال

تمكين موصل AWS EKS.

  • تمكين/تعطيل الاتصال



سجلات الوصول إلى خادم AWS S3 (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يتيح لك هذا الموصل استيعاب سجلات الوصول إلى خادم AWS S3 في Microsoft Sentinel. تحتوي هذه السجلات على سجلات مفصلة للطلبات المقدمة إلى مستودعات S3، بما في ذلك نوع الطلب والوصول إلى المورد ومعلومات الطالب وتفاصيل الاستجابة. هذه السجلات مفيدة لتحليل أنماط الوصول، وتصحيح المشكلات، وضمان التوافق الأمني.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSS3ServerAccess نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • البيئة: يجب أن يكون لديك موارد AWS التالية محددة ومكونة: مستودع S3 وخدمة قائمة الانتظار البسيطة (SQS) وأدوار IAM ونهج الأذونات.

إرشادات الإعداد:

  1. نشر AWS CloudFormation لتكوين الوصول على AWS، تم إنشاء قالبين لإعداد بيئة AWS لإرسال سجلات من سجلات AWS S3 Server Access إلى مساحة عمل Log Analytics.

توزيع قوالب CloudFormation في AWS:

  1. انتقل إلى مكدسات AWS CloudFormation.
  2. انقر فوق Create stack وحدد With new resources.
  3. اختر تحميل ملف قالب، ثم انقر فوق اختيار ملف لتحميل قالب CloudFormation المناسب المتوفر.
  4. اتبع المطالبات وانقر فوق التالي لإكمال إنشاء المكدس.
  5. بعد إنشاء المكدسات، لاحظ عنوان URL لقائمة انتظار Role ARN وSQS.
  • القالب 1: توزيع موفر مصادقة OpenID Connect: <قيمة متغيرة متوفرة في وقت التثبيت>
  • القالب 2: توزيع موارد AWS Server Access: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتوصيل مجمعات جديدة لتمكين AWS S3 Server Access Logs Connector for Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.
  • شبكة موصلات البيانات (تكوين في المدخل)



نتائج مركز أمان AWS (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يتيح هذا الموصل استيعاب نتائج مركز أمان AWS، والتي يتم جمعها في مستودعات AWS S3، في Microsoft Sentinel. يساعد على تبسيط عملية مراقبة وإدارة تنبيهات الأمان من خلال دمج نتائج مركز أمان AWS مع قدرات Microsoft Sentinel المتقدمة للكشف عن التهديدات والاستجابة لها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AWSSecurityHubFindings نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • البيئة: يجب أن يكون لديك موارد AWS التالية محددة ومكونة: مركز أمان AWS، Amazon Data Firehose، Amazon EventBridge، مستودع S3، خدمة قائمة الانتظار البسيطة (SQS)، أدوار IAM ونهج الأذونات.

إرشادات الإعداد:

  1. نشر AWS CloudFormation استخدم قوالب CloudFormation المتوفرة لتكوين بيئة AWS لإرسال السجلات من مركز أمان AWS إلى مساحة عمل Log Analytics.

توزيع قوالب CloudFormation في AWS:

  1. انتقل إلى مكدسات AWS CloudFormation.
  2. انقر فوق Create stack وحدد With new resources.
  3. اختر تحميل ملف قالب، ثم انقر فوق اختيار ملف لتحميل قالب CloudFormation المناسب المتوفر.
  4. اتبع المطالبات وانقر فوق التالي لإكمال إنشاء المكدس.
  5. بعد إنشاء المكدسات، لاحظ عنوان URL لقائمة انتظار Role ARN وSQS.
  • القالب 1: توزيع موفر مصادقة OpenID Connect: <قيمة متغيرة متوفرة في وقت التثبيت>
  • القالب 2: توزيع موارد AWS Security Hub: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتوصيل مجمعات جديدة لتمكين AWS Security Hub Connector for Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.
  • شبكة موصلات البيانات (تكوين في المدخل)



نشاط Azure

مدعوم من قبل:Microsoft Corporation

Azure Activity Log هو سجل اشتراك يوفر نظرة ثاقبة على الأحداث على مستوى الاشتراك التي تحدث في Azure، بما في ذلك الأحداث من البيانات التشغيلية Azure Resource Manager، وأحداث حالة الخدمة، وعمليات الكتابة التي يتم اتخاذها على الموارد في اشتراكك، وحالة الأنشطة التي يتم تنفيذها في Azure. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel .

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureActivity لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

حساب دفعة Azure

مدعوم من قبل:Microsoft Corporation

Azure Batch Account هو كيان معرف بشكل فريد داخل خدمة Batch. تستخدم معظم حلول Batch تخزين Azure لتخزين ملفات الموارد وملفات الإخراج، لذلك عادة ما يقترن كل حساب Batch بحساب تخزين مطابق. يتيح لك هذا الموصل دفق سجلات تشخيص حساب Azure Batch إلى Microsoft Sentinel، ما يسمح لك بمراقبة النشاط باستمرار. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • النهج: دور المالك المعين لكل نطاق تعيين نهج

إرشادات الإعداد:

قم بتوصيل سجلات تشخيص حساب الدفعة Azure في Sentinel.

يستخدم هذا الموصل نهج Azure لتطبيق تكوين تدفق سجل حساب دفعي واحد Azure على مجموعة من المثيلات، المعرفة كنطاق. اتبع الإرشادات أدناه لإنشاء نهج وتطبيقه على جميع المثيلات الحالية والمستقبلية. ملاحظة، قد يكون لديك بالفعل نهج نشط لنوع المورد هذا.

Stream سجلات التشخيص من حساب الدفعة Azure الخاص بك على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .



Azure CloudNGFW by Palo Alto Networks

مدعوم من قبل:Palo Alto Networks

جدار حماية الجيل التالي من السحابة بواسطة Palo Alto Networks - وهي خدمة ISV أصلية Azure - هو Palo Alto Networks Next-Generation Firewall (NGFW) المقدم كخدمة سحابية أصلية على Azure. يمكنك اكتشاف Cloud NGFW في Azure Marketplace واستهلاكه في الشبكات الظاهرية Azure (VNet). باستخدام Cloud NGFW، يمكنك الوصول إلى إمكانات NGFW الأساسية مثل App-ID والتقنيات المستندة إلى تصفية عنوان URL. يوفر منع التهديدات واكتشافها من خلال خدمات الأمان المقدمة من السحابة وتوقيعات منع التهديدات. يسمح لك الموصل بتوصيل سجلات Cloud NGFW بسهولة Microsoft Sentinel، وعرض لوحات المعلومات، وإنشاء تنبيهات مخصصة، وتحسين التحقيق. يمنحك هذا المزيد من التفاصيل حول شبكة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك. لمزيد من المعلومات، راجع Cloud NGFW للحصول على وثائق Azure.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
fluentbit_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل Cloud NGFW بواسطة Palo Alto Networks إلى Microsoft Sentinel

تمكين إعدادات السجل على جميع CLOUD NGFWs بواسطة Palo Alto Networks.

داخل مورد Cloud NGFW الخاص بك:

  1. انتقل إلى إعدادات السجل من الصفحة الرئيسية.
  2. تأكد من تحديد خانة الاختيار تمكين إعدادات السجل .
  3. من القائمة المنسدلة Log Settings ، اختر مساحة عمل Log Analytics المطلوبة.
  4. قم بتأكيد التحديدات والتكوينات الخاصة بك.
  5. انقر فوق حفظ لتطبيق الإعدادات.



البحث المعرفي Azure

مدعوم من قبل:Microsoft Corporation

Azure Cognitive Search هي خدمة بحث سحابية تمنح المطورين البنية الأساسية وواجهات برمجة التطبيقات والأدوات لبناء تجربة بحث غنية عبر المحتوى الخاص وغير المتجانس في تطبيقات الويب والجوال والمؤسسات. يتيح لك هذا الموصل دفق سجلات تشخيص Azure Cognitive Search إلى Microsoft Sentinel، ما يسمح لك بمراقبة النشاط باستمرار.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • النهج: دور المالك المعين لكل نطاق تعيين نهج

إرشادات الإعداد:

قم بتوصيل سجلات تشخيص Azure Cognitive Search في Sentinel.

يستخدم هذا الموصل نهج Azure لتطبيق تكوين واحد Azure تدفق سجل البحث المعرفي على مجموعة من المثيلات، المعرفة كنطاق. اتبع الإرشادات أدناه لإنشاء نهج وتطبيقه على جميع المثيلات الحالية والمستقبلية. ملاحظة، قد يكون لديك بالفعل نهج نشط لنوع المورد هذا.

Stream سجلات التشخيص من البحث المعرفي Azure على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .



حماية Azure DDoS

مدعوم من قبل:Microsoft Corporation

اتصل بسجلات Standard حماية Azure DDoS عبر سجلات تشخيص عنوان IP العام. بالإضافة إلى حماية DDoS الأساسية في النظام الأساسي، يوفر Azure حماية DDoS Standard قدرات متقدمة للتخفيف من DDoS ضد هجمات الشبكة. يتم ضبطه تلقائيا لحماية موارد Azure المحددة. الحماية بسيطة لتمكينها أثناء إنشاء شبكات ظاهرية جديدة. يمكن القيام بذلك أيضا بعد الإنشاء ولا يتطلب أي تغييرات في التطبيق أو المورد. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

Azure سجلات تدقيق DevOps (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يسمح لك موصل بيانات سجلات تدقيق DevOps Azure استيعاب أحداث التدقيق من Azure DevOps إلى Microsoft Sentinel. تم إنشاء موصل البيانات هذا باستخدام Microsoft Sentinel Codeless Connector Framework، مما يضمن التكامل السلس. يستفيد من Azure واجهة برمجة تطبيقات سجلات تدقيق DevOps لجلب أحداث التدقيق التفصيلية ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR. تتيح هذه التحويلات تحليل بيانات التدقيق المستلمة في جدول مخصص أثناء الاستيعاب، وتحسين أداء الاستعلام عن طريق التخلص من الحاجة إلى تحليل إضافي. باستخدام هذا الموصل، يمكنك الحصول على رؤية محسنة في بيئة Azure DevOps وتبسيط عمليات الأمان الخاصة بك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ADOAuditLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure DevOps المتطلبات الأساسية: يرجى التأكد مما يلي:
    1. تسجيل تطبيق Entra في مركز Microsoft Entra مسؤول ضمن تسجيلات التطبيقات.
    2. في "أذونات واجهة برمجة التطبيقات" - أضف أذونات إلى "Azure DevOps - vso.auditlog".
    3. في "الشهادات & الأسرار" - قم بإنشاء "سر العميل".
    4. في "المصادقة" - أضف عنوان URI لإعادة التوجيه الموجود أدناه في الحقل المقابل.
    5. في إعدادات Azure DevOps - قم بتمكين سجل التدقيق وتعيين عرض سجل التدقيق للمستخدم. Azure DevOps Auditing.
    6. تأكد من أن المستخدم المعين لتوصيل موصل البيانات لديه إذن عرض سجلات التدقيق معين بشكل صريح إلى السماح في جميع الأوقات. هذا الإذن ضروري لاستيعاب السجل بنجاح. إذا تم إبطال الإذن أو عدم منحه، فسيفشل استيعاب البيانات أو ستتم مقاطعته.

إرشادات الإعداد:

**اتصل ب Azure DevOps لبدء جمع سجلات التدقيق في Microsoft Sentinel. **

  1. أدخل التطبيق الذي سجلته.
  2. في قسم "نظرة عامة"، انسخ معرف التطبيق (العميل).
  3. حدد الزر "Endpoints"، وانسخ قيمة "OAuth 2.0 authorization endpoint (v2)" وقيمة "OAuth 2.0 token endpoint (v2)".
  4. في قسم "Certificates & secrets"، انسخ "Client Secret value"، وقم بتخزينها بأمان.
  5. قم بتوفير المعلومات المطلوبة أدناه وانقر فوق "الاتصال".



Azure Event Hub

مدعوم من قبل:Microsoft Corporation

Azure مراكز الأحداث هو نظام أساسي لتدفق البيانات الضخمة وخدمة استيعاب الأحداث. يمكنه تلقي ملايين الأحداث ومعالجتها في الثانية. يتيح لك هذا الموصل دفق سجلات تشخيص مركز الأحداث Azure إلى Microsoft Sentinel، ما يسمح لك بمراقبة النشاط باستمرار.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • النهج: دور المالك المعين لكل نطاق تعيين نهج

إرشادات الإعداد:

قم بتوصيل سجلات تشخيص مركز الأحداث Azure في Sentinel.

يستخدم هذا الموصل نهج Azure لتطبيق تكوين تدفق سجل Azure Event Hub واحد على مجموعة من المثيلات، المعرفة كنطاق. اتبع الإرشادات أدناه لإنشاء نهج وتطبيقه على جميع المثيلات الحالية والمستقبلية. ملاحظة، قد يكون لديك بالفعل نهج نشط لنوع المورد هذا.

Stream سجلات التشخيص من مركز الأحداث Azure على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .



جدار حماية Azure

مدعوم من قبل:Microsoft Corporation

الاتصال بجدار حماية Azure. Azure Firewall هي خدمة أمان شبكة مدارة مستندة إلى السحابة تحمي موارد الشبكة الظاهرية Azure. إنه جدار حماية ذو حالة كاملة كخدمة ذات قابلية وصول عالية مدمجة وقابلية توسع سحابية غير مقيدة. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا
AZFWApplicationRule نعم نعم
AZFWFlowTrace نعم نعم
AZFWFatFlow نعم نعم
AZFWNatRule نعم نعم
AZFWDnsQuery نعم نعم
AZFWIdpsSignature نعم نعم
AZFWInternalFqdnResolutionFailure نعم نعم
AZFWNetworkRule نعم نعم
AZFWThreatIntel نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Azure Key Vault

مدعوم من قبل:Microsoft Corporation

Azure Key Vault هي خدمة سحابية لتخزين الأسرار والوصول إليها بأمان. السر هو أي شيء تريد التحكم بإحكام في الوصول إليه، مثل مفاتيح واجهة برمجة التطبيقات أو كلمات المرور أو الشهادات أو مفاتيح التشفير. يتيح لك هذا الموصل دفق سجلات التشخيص Azure Key Vault إلى Microsoft Sentinel، مما يسمح لك بمراقبة النشاط باستمرار في جميع المثيلات الخاصة بك. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

Azure خدمة Kubernetes (AKS)

مدعوم من قبل:Microsoft Corporation

Azure خدمة Kubernetes (AKS) هي خدمة تنسيق حاويات مفتوحة المصدر مدارة بالكامل تسمح لك بنشر حاويات Docker والتطبيقات المستندة إلى الحاويات وتوسيع نطاقها وإدارتها في بيئة نظام المجموعة. يتيح لك هذا الموصل دفق سجلات تشخيص خدمة Kubernetes (AKS) Azure إلى Microsoft Sentinel، ما يسمح لك بمراقبة النشاط باستمرار في جميع المثيلات الخاصة بك. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

Azure Logic Apps

مدعوم من قبل:Microsoft Corporation

Azure Logic Apps هو نظام أساسي قائم على السحابة لإنشاء وتشغيل مهام سير العمل التلقائية التي تدمج تطبيقاتك وبياناتك وخدماتك وأنظمتك. يتيح لك هذا الموصل دفق سجلات تشخيص Azure Logic Apps إلى Microsoft Sentinel، ما يسمح لك بمراقبة النشاط باستمرار.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • النهج: دور المالك المعين لكل نطاق تعيين نهج

إرشادات الإعداد:

قم بتوصيل سجلات تشخيص Logic Apps في Sentinel.

يستخدم هذا الموصل نهج Azure لتطبيق تكوين تدفق سجل Azure Logic Apps واحد على مجموعة من المثيلات، المعرفة كنطاق. اتبع الإرشادات أدناه لإنشاء نهج وتطبيقه على جميع المثيلات الحالية والمستقبلية. ملاحظة، قد يكون لديك بالفعل نهج نشط لنوع المورد هذا.

Stream سجلات التشخيص من Azure Logic Apps على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .



Azure Resource Graph

مدعوم من قبل:Microsoft Corporation

يوفر موصل Azure Resource Graph رؤى أكثر ثراء حول الأحداث Azure من خلال استكمال التفاصيل حول الاشتراكات Azure والموارد Azure.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • النهج: إذن دور المالك على اشتراكات Azure

إرشادات الإعداد:

توصيل Azure Resource Graph Microsoft Sentinel



ناقل خدمة Azure

مدعوم من قبل:Microsoft Corporation

ناقل خدمة Azure هو وسيط رسائل مؤسسة مدار بالكامل مع قوائم انتظار الرسائل وموضوعات النشر والاشتراك (في مساحة الاسم). يتيح لك هذا الموصل دفق سجلات التشخيص ناقل خدمة Azure إلى Microsoft Sentinel، ما يسمح لك بمراقبة النشاط باستمرار.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • النهج: دور المالك المعين لكل نطاق تعيين نهج

إرشادات الإعداد:

قم بتوصيل سجلات تشخيص ناقل خدمة Azure في Sentinel.

يستخدم هذا الموصل نهج Azure لتطبيق تكوين تدفق سجل ناقل خدمة Azure واحد على مجموعة من المثيلات، المعرفة كنطاق. اتبع الإرشادات أدناه لإنشاء نهج وتطبيقه على جميع المثيلات الحالية والمستقبلية. ملاحظة، قد يكون لديك بالفعل نهج نشط لنوع المورد هذا.

Stream سجلات التشخيص من ناقل خدمة Azure على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .



Azure قواعد بيانات SQL

مدعوم من قبل:Microsoft Corporation

Azure SQL هو محرك قاعدة بيانات مدار بالكامل للنظام الأساسي كخدمة (PaaS) يتعامل مع معظم وظائف إدارة قاعدة البيانات، مثل الترقية والتصحيح والنسخ الاحتياطية والمراقبة، دون الحاجة إلى مشاركة المستخدم. يتيح لك هذا الموصل دفق سجلات تدقيق قواعد بيانات SQL Azure وسجلات التشخيص إلى Microsoft Sentinel، مما يسمح لك بمراقبة النشاط باستمرار في جميع المثيلات الخاصة بك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

حساب تخزين Azure

مدعوم من قبل:Microsoft Corporation

Azure حساب التخزين هو حل سحابي لسيناريوهات تخزين البيانات الحديثة. يحتوي على جميع كائنات البيانات الخاصة بك: الكائنات الثنائية كبيرة الحجم والملفات وقوائم الانتظار والجداول والأقراص. يتيح لك هذا الموصل دفق سجلات تشخيص حسابات التخزين Azure إلى مساحة عمل Microsoft Sentinel، مما يسمح لك بمراقبة النشاط باستمرار في جميع المثيلات الخاصة بك، واكتشاف النشاط الضار في مؤسستك. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureMetrics لا لا
StorageBlobLogs نعم نعم
StorageQueueLogs نعم نعم
StorageTableLogs نعم نعم
StorageFileLogs نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • النهج: دور المالك المعين لكل نطاق تعيين نهج

إرشادات الإعداد:

قم بتوصيل سجلات تشخيص حساب التخزين Azure في Sentinel.

يستخدم هذا الموصل مجموعة من نهج Azure لتطبيق تكوين تدفق السجل على مجموعة من المثيلات، المعرفة كنطاق. اتبع الإرشادات أدناه لإنشاء النهج وتطبيقها على جميع المثيلات الحالية والمستقبلية. لتحقيق أقصى استفادة من التسجيل التشخيصي لحساب التخزين من حساب التخزين Azure، نوصي بتمكين التسجيل التشخيصي من جميع الخدمات داخل حساب التخزين Azure - كائن ثنائي كبير الحجم وقائمة الانتظار والجدول والملف. ملاحظة، قد يكون لديك بالفعل نهج نشط لنوع المورد هذا.

Stream سجلات التشخيص من حساب تخزين Azure على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .

Stream سجلات التشخيص من خدمة تخزين Azure Blob على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .

Stream سجلات التشخيص من خدمة تخزين Azure Queue على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .

Stream سجلات التشخيص من خدمة جدول تخزين Azure على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .

Stream سجلات التشخيص من خدمة ملف تخزين Azure على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .



Azure Stream Analytics

مدعوم من قبل:Microsoft Corporation

Azure Stream Analytics هو تحليلات في الوقت الحقيقي ومحرك معقد لمعالجة الأحداث تم تصميمه لتحليل ومعالجة كميات كبيرة من بيانات الدفق السريع من مصادر متعددة في وقت واحد. يتيح لك هذا الموصل دفق سجلات تشخيص مركز Azure Stream Analytics إلى Microsoft Sentinel، ما يسمح لك بمراقبة النشاط باستمرار.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • النهج: دور المالك المعين لكل نطاق تعيين نهج

إرشادات الإعداد:

قم بتوصيل سجلات تشخيص Azure Stream Analytics في Sentinel.

يستخدم هذا الموصل نهج Azure لتطبيق تكوين تدفق سجل Azure Stream Analytics واحد على مجموعة من المثيلات، المعرفة كنطاق. اتبع الإرشادات أدناه لإنشاء نهج وتطبيقه على جميع المثيلات الحالية والمستقبلية. ملاحظة، قد يكون لديك بالفعل نهج نشط لنوع المورد هذا.

Stream سجلات التشخيص من Azure Stream Analytics على نطاق واسع

**قم بتشغيل معالج تعيين نهج Azure واتبع الخطوات. **

  1. في علامة التبويب الأساسيات، انقر فوق الزر الذي يحتوي على النقاط الثلاث ضمن النطاق لتحديد اشتراكك.
  2. في علامة التبويب معلمات، اختر مساحة عمل Microsoft Sentinel من القائمة المنسدلة مساحة عمل Log Analytics، واترك علامة "True" على جميع فئات السجل التي تريد استيعابها.
  3. لتطبيق النهج على الموارد الموجودة، ضع علامة على خانة الاختيار إنشاء مهمة معالجة في علامة التبويب المعالجة .



Azure Web Application Firewall (WAF)

مدعوم من قبل:Microsoft Corporation

اتصل ب Azure Web Application Firewall (WAF) لبوابة التطبيق أو Front Door أو CDN. يحمي WAF تطبيقاتك من الثغرات الأمنية الشائعة على الويب مثل حقن SQL والبرمجة النصية عبر المواقع، ويتيح لك تخصيص القواعد لتقليل الإيجابيات الخاطئة. تظهر إرشادات دفق سجلات جدار حماية تطبيق Microsoft Web إلى Microsoft Sentinel أثناء عملية التثبيت. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

BETTER Mobile Threat Defense (MTD)

مدعوم من قبل:Better Mobile Security Inc.

يسمح BETTER MTD Connector للمؤسسات بتوصيل مثيلات MTD الأفضل الخاصة بها Microsoft Sentinel، لعرض بياناتها في لوحات المعلومات، وإنشاء تنبيهات مخصصة، واستخدامها لتشغيل أدلة المبادئ وتوسيع قدرات تتبع التهديدات. وهذا يمنح المستخدمين مزيدا من التفاصيل حول الأجهزة المحمولة لمؤسستهم والقدرة على تحليل وضع أمان الأجهزة المحمولة الحالي بسرعة مما يحسن قدرات SecOps الإجمالية الخاصة بهم.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
BetterMTDIncidentLog_CL لا لا
BetterMTDDeviceLog_CL لا لا
BetterMTDNetflowLog_CL لا لا
BetterMTDAppLog_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

  1. في Better MTD Console، انقر فوق Integration على الشريط الجانبي.
  2. حدد علامة تبويب أخرى .
  3. انقر فوق الزر ADD ACCOUNT وحدد Microsoft Sentinel من عمليات التكامل المتوفرة.
  4. إنشاء التكامل:
  • تعيين ACCOUNT NAME إلى اسم وصفي يحدد التكامل ثم انقر فوق التالي
  • WORKSPACE ID أدخل و PRIMARY KEY من الحقول أدناه، انقر فوق حفظ
  • انقر فوق تم
  1. إعداد نهج التهديد (ما هي الحوادث التي يجب الإبلاغ عنها إلى Microsoft Sentinel):
  • في Better MTD Console، انقر فوق Policies على الشريط الجانبي
  • انقر فوق الزر تحرير في النهج الذي تستخدمه.
  • لكل أنواع الحوادث التي تريد تسجيلها، انتقل إلى حقل Send to Integrations وحدد Sentinel
  1. لمزيد من المعلومات، يرجى الرجوع إلى وثائقنا.
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



BeyondTrust PM Cloud

مدعوم من قبل:BeyondTrust

يوفر موصل بيانات BeyondTrust Privilege Management Cloud القدرة على استيعاب سجلات تدقيق النشاط وسجلات أحداث العميل من BeyondTrust PM Cloud إلى Microsoft Sentinel.

يستخدم هذا الموصل دالات Azure لسحب البيانات من BeyondTrust PM Cloud API واستيعابها في جداول Log Analytics المخصصة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
BeyondTrustPM_ActivityAudits_CL نعم نعم
BeyondTrustPM_ClientEvents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد BeyondTrust PM Cloud API: BeyondTrust PM Cloud OAuth Client ID و Client Secret مطلوبان. يتطلب حساب واجهة برمجة التطبيقات الأذونات التالية: Audit - Read Only and Reporting - Read Only

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب BeyondTrust PM Cloud API لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

ملاحظه: يستخدم هذا الموصل تدفق بيانات اعتماد عميل OAuth 2.0 للمصادقة باستخدام BeyondTrust PM Cloud API.

الخطوة 1 - الحصول على بيانات اعتماد BeyondTrust PM Cloud API

إنشاء حساب API في مثيل BeyondTrust PM Cloud باستخدام بيانات اعتماد واجهة برمجة تطبيقات OAuth (معرف العميل وسر العميل). يتطلب حساب واجهة برمجة التطبيقات الأذونات التالية:

  • التدقيق - للقراءة فقط
  • إعداد التقارير - للقراءة فقط

الخطوة 2 - نشر الموصل ودالة Azure المقترنة

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات BeyondTrust PM Cloud باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    portal.azure.com

  2. حدد الاشتراك المفضل ومجموعة الموارد (يجب أن تحتوي على مساحة عمل Log Analytics) والموقع.

  3. أدخل المعلمات المطلوبة:

    • اسم مساحة العمل: اسم مساحة عمل Log Analytics (على سبيل المثال، beyondtrust-pmcloud)
    • BeyondTrust PM Cloud Base URL: عنوان URL للمستأجر (على سبيل المثال، https://yourcompany.beyondtrustcloud.com)
    • معرف عميل BeyondTrust: معرف عميل OAuth من الخطوة 1
    • BeyondTrust Client Secret: OAuth Client Secret من الخطوة 1
    • الفاصل الزمني لاستطلاع تدقيق النشاط: عدد مرات تجميع عمليات تدقيق النشاط (افتراضي: 15 دقيقة)
    • الفاصل الزمني لاستقصاء أحداث العميل: عدد المرات التي يتم فيها تجميع أحداث العميل (افتراضي: 5 دقائق)
    • مستوى السجل: مستوى التسجيل لاستكشاف الأخطاء وإصلاحها (افتراضي: معلومات)
    • الإطار الزمني للبيانات التاريخية: إلى أي مدى يعود لجمع البيانات عند التشغيل الأول (افتراضي: يوم واحد)

  4. راجع الإعدادات المتقدمة (استضافة خطة SKU، نوع حساب التخزين) وضبطها إذا لزم الأمر.

  5. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  6. انقر فوق شراء للنشر.

  7. ينشئ التوزيع جميع الموارد المطلوبة: تطبيق الوظائف وحساب التخزين ونقطة نهاية تجميع البيانات وقواعد جمع البيانات وجداول Log Analytics المخصصة.

  8. يجب أن تبدأ البيانات في التدفق في غضون 15-30 دقيقة من التوزيع.



موصل DSPM BigID

مدعوم من قبل:BigID

يوفر موصل البيانات DSPM BigID القدرة على استيعاب حالات DSPM BigID مع الكائنات المتأثرة ومعلومات مصدر البيانات في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
BigIDDSPMCatalog_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الوصول إلى BigID DSPM API: مطلوب الوصول إلى BigID DSPM API من خلال رمز BigID المميز.

إرشادات الإعداد:

اتصل ب BigID DSPM API لبدء جمع حالات DSPM BigID والعناصر المتأثرة في Microsoft Sentinel

قم بتوفير اسم مجال BigID الخاص بك مثل "customer.bigid.cloud" ورمز BigID المميز الخاص بك. إنشاء رمز مميز في وحدة تحكم BigID عبر الإعدادات -> إدارة الوصول -> المستخدمون -> حدد المستخدم وقم بإنشاء رمز مميز.

  • BigID FQDN: (BigID FQDN)
  • رمز BigID المميز: (رمز BigID المميز)
  • تمكين/تعطيل الاتصال



Bitglass (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Bitglass القدرة على استرداد سجلات أحداث الأمان لخدمات Bitglass والمزيد من الأحداث في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
BitglassLogs_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: BitglassTokenوBitglassServiceURL مطلوبان لإجراء استدعاءات واجهة برمجة التطبيقات.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات تخزين كائن ثنائي كبير الحجم Azure لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف تخزين Azure Blob. تحقق من صفحة تسعير دالات Azureوصفحة تسعير blob Storage Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع Bitglass الذي يتم توزيعه باستخدام Microsoft Sentinel Solution.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات استرداد سجل Bitglass

اتبع الإرشادات للحصول على بيانات الاعتماد.

  1. يرجى الاتصال بدعم Bitglass والحصول على ntation BitglassToken وBitglassServiceURL ].
  2. احفظ بيانات الاعتماد لاستخدامها في موصل البيانات.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات Bitglass، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Bitglass باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل BitglassToken وBitglassServiceURL وانشر. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Bitglass يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، BitglassXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



سجلات أحداث Bitwarden

مدعوم من قبل:Bitwarden Inc

يوفر هذا الموصل نظرة ثاقبة على نشاط مؤسسة Bitwarden الخاصة بك مثل نشاط المستخدم (تسجيل الدخول، وتغيير كلمة المرور، و2fa، وما إلى ذلك)، ونشاط التشفير (تم إنشاؤه، وتحديثه، وحذفه، ومشاركته، وما إلى ذلك)، ونشاط المجموعة، ونشاط المؤسسة، والمزيد.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
BitwardenEventLogs لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • معرف عميل Bitwarden وسر العميل: يمكن العثور على مفتاح API الخاص بك في وحدة تحكم مسؤول مؤسسة Bitwarden. يرجى الاطلاع على وثائق Bitwarden لمزيد من المعلومات.

إرشادات الإعداد:

توصيل سجلات أحداث Bitwarden Microsoft Sentinel

يمكن العثور على مفتاح API الخاص بك في وحدة تحكم مسؤول مؤسسة Bitwarden. يرجى الاطلاع على وثائق Bitwarden لمزيد من المعلومات. قد تحتاج خوادم Bitwarden المستضافة ذاتيا إلى إعادة تكوين عنوان URL للتثبيت الخاص بها.



blacklens.io

مدعوم من قبل:blacklens.io الدعم

يسمح لك موصل البيانات blacklens.io استيعاب تنبيهات إدارة أجهزة Surface الهجومية من blacklens.io إلى Microsoft Sentinel باستخدام Logic App المستند إلى خطاف الويب وواجهة برمجة تطبيقات استيعاب سجلات مراقبة Azure.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
blacklens_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Subscription: مطلوب أذونات المساهم أو المالك في مجموعة الموارد لنشر البنية الأساسية لاستيعاب البيانات (نقطة نهاية تجميع البيانات وقاعدة تجميع البيانات والجدول المخصص وتطبيق المنطق).
  • حساب blacklens.io: مطلوب حساب blacklens.io مع قدرات تكامل خطاف الويب.

إرشادات الإعداد:

الخطوة 1 - نشر البنية الأساسية لاستيعاب البيانات

تنشر هذه الخطوة موارد Azure المطلوبة: نقطة نهاية تجميع البيانات وقاعدة تجميع البيانات وجدول Log Analytics المخصص (blacklens_CL) وتطبيق Logic الذي يتم تشغيله على الويب.

  1. انقر فوق الزر Deploy to Azure أدناه.

    portal.azure.com

  2. حدد الاشتراك ومجموعة الموارد والموقع حيث توجد مساحة عمل Microsoft Sentinel.

  3. أدخل اسم مساحة العمل لمساحة عمل Log Analytics.

  4. انقر فوق مراجعة + إنشاء ثم إنشاء.

الخطوة 2 - نسخ عنوان URL للإخطار على الويب

  1. بعد نجاح التوزيع، انقر فوق علامة التبويب Outputs في صفحة التوزيع.
  2. انسخ قيمة webhookUrl .

بدلا من ذلك، انتقل إلى نظرة عامة على Logic Apps >la-blacklens-alert-log-ingestion> وانسخ عنوان URL لسير العمل.

الخطوة 3 - تكوين blacklens.io

  1. سجل الدخول إلى مدخل blacklens.io.
  2. انتقل إلى إعدادات تكامل خطاف الويب.
  3. الصق عنوان URL للإخطار على الويب الذي تم نسخه في الخطوة 2.
  4. احفظ التكوين.
  5. اربط تكامل خطاف الويب بنهج إعلام واحد على الأقل بحيث يتم إرسال التنبيهات إلى خطاف الويب.

بعد بضع دقائق، يجب أن يظهر حدث اختبار في Microsoft Sentinel.



Box (باستخدام دالات Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Box القدرة على استيعاب أحداث مؤسسة Box في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Box REST. راجع وثائق Box لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
BoxEvents_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • Box API Credentials: مطلوب ملف JSON الخاص ب Box config لمصادقة Box REST API JWT. لمزيد من المعلومات، راجع مصادقة JWT.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب Box REST API لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد هذا الموصل على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع BoxEvents الذي يتم نشره مع Microsoft Sentinel Solution.

الخطوة 1 - تكوين مجموعة أحداث Box

راجع الوثائق لإعداد مصادقة JWTوالحصول على ملف JSON مع بيانات الاعتماد.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات Box، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى ملف تكوين Box JSON، المتوفر بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Box باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل AzureSentinelWorkspaceId، AzureSentinelSharedKey، BoxConfigJSON

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Box يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Configuration.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



أحداث المربع (CCF)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Box القدرة على استيعاب أحداث مؤسسة Box في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Box REST. راجع وثائق Box لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
BoxEventsV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل النظام الأساسي Connecor بدون تعليمات برمجية (CCF) للاتصال بواجهة برمجة تطبيقات Box REST لسحب السجلات إلى Microsoft Sentinel.

ملاحظه: يعتمد هذا الموصل على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع BoxEvents الذي يتم نشره مع Microsoft Sentinel Solution.

الخطوة 1 - إنشاء تطبيق مخصص لمربع

راجع الوثائق لإعداد مصادقة بيانات اعتماد العميل

الخطوة 2 - الحصول على معرف العميل وقيم سر العميل

قد تحتاج إلى إعداد 2FA لجلب البيانات السرية.

الخطوة 3 - Grab Box Enterprise ID من Box مسؤول Console

راجع الوثائق للعثور على معرف المؤسسة

الاتصال ب Box لبدء جمع سجلات الأحداث إلى Microsoft Sentinel

قم بتوفير القيم المطلوبة أدناه:

  • Box Enterprise ID: (123456)



Check Point CloudGuard CNAPP Connector for Microsoft Sentinel

مدعوم من قبل:نقطة الاختيار

يتيح موصل بيانات CloudGuard استيعاب أحداث الأمان من واجهة برمجة تطبيقات CloudGuard إلى Microsoft Sentinel ™، باستخدام إطار عمل الموصل بدون تعليمات برمجية Microsoft Sentinel. يدعم الموصل تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل بيانات حدث الأمان الواردة إلى أعمدة مخصصة. تلغي عملية التحليل المسبق هذه الحاجة إلى تحليل وقت الاستعلام، ما يؤدي إلى تحسين أداء استعلامات البيانات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CloudGuard_SecurityEvents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • مفتاح واجهة برمجة تطبيقات CloudGuard: راجع الإرشادات المتوفرة هنا لإنشاء مفتاح واجهة برمجة التطبيقات.

إرشادات الإعداد:

توصيل أحداث أمان CloudGuard ب Microsoft Sentinel

لتمكين موصل CloudGuard Microsoft Sentinel، أدخل المعلومات المطلوبة أدناه وحدد Connect.

  • معرف مفتاح API: (api_key)
  • سر مفتاح API: (api_secret)
  • عنوان URL لنقطة نهاية CloudGuard: (على سبيل المثال https://api.dome9.com)
  • عامل التصفية: (لصق عامل التصفية من CloudGuard)
  • تمكين/تعطيل الاتصال



موصل تنبيهات Check Point Cyberint (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Cyberint

يوفر Cyberint، وهي شركة Check Point، تكاملا Microsoft Sentinel لتبسيط التنبيهات الهامة وجلب التحليل الذكي للمخاطر الثرية من حل Infinity External Risk Management إلى Microsoft Sentinel. وهذا يبسط عملية تتبع حالة التذاكر مع تحديثات المزامنة التلقائية عبر الأنظمة. باستخدام هذا التكامل الجديد Microsoft Sentinel، يمكن لعملاء Cyberint Microsoft Sentinel الحاليين سحب السجلات بسهولة استنادا إلى نتائج Cyberint في النظام الأساسي Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
argsentdc_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Check Point Cyberint API Key, Argos URL, and Customer Name: مطلوب مفتاح API للموصل وعنوان URL Argos واسم العميل

إرشادات الإعداد:

توصيل تنبيهات Cyberint في نقطة التحقق Microsoft Sentinel

لتمكين الموصل، قم بتوفير المعلومات المطلوبة أدناه وانقر فوق Connect.

Argos URL — Cyberint API URL للمستأجر الخاص بك (على سبيل المثال https://your_tenant.cyberint.io) رمز API المميز — Cyberint API access token Customer Name — اسم الشركة (العميل) المقترن ببيئات مثيل Cyberint — قائمة مفصولة بفواصل من البيئات لجلبها. إذا كانت فارغة، يتم جلب جميع البيئات.\n\nالخطورة — قائمة مفصولة بفواصل من الخطورة لجلبها (منخفضة ومتوسطة وعالية very_high). إذا كانت فارغة، يتم إحضار جميع الخطورة.\n\nالفاصل الزمني للاستقصاء — عدد مرات الاستقصاء عن التنبيهات الجديدة، بالدقائق (الافتراضي: 5)\n\nتضمين مرفقات CSV ك JSON — ما إذا كان يجب تضمين مرفقات CSV كمحتوى JSON في التنبيهات (افتراضي: خطأ)

  • Argos URL: (https://your_tenant.cyberint.io)
  • الرمز المميز لواجهة برمجة التطبيقات: (الرمز المميز للوصول إلى Cyberint API)
  • اسم العميل: (اسم الشركة (العميل) المقترن بمثيل Cyberint الخاص بك)
  • البيئات: (قائمة مفصولة بفواصل (مثل الإنتاج، التقسيم المرحلي))
  • الخطورة: (قائمة مفصولة بفواصل (على سبيل المثال، منخفضة، متوسطة، عالية، very_high))
  • الفاصل الزمني للاستقصاء (دقائق): (تكرار الاستقصاء بالدقائق)
  • تضمين مرفقات CSV ك JSON: (صواب أو خطأ)
  • تمكين/تعطيل الاتصال



موصل Check Point Cyberint IOC

مدعوم من قبل:Cyberint

يوفر Cyberint، وهي شركة Check Point، تكاملا Microsoft Sentinel لاستيعاب مؤشرات التسوية (IOCs) من حل Infinity External Risk Management إلى Microsoft Sentinel. يسحب هذا الموصل تلقائيا موجز IOC اليومي - بما في ذلك عناوين IP الضارة والمجالات وعناوين URL وتجزئات الملفات - التي يتم إثراؤها بسياق التهديد مثل الخطورة والثقة والنشاط المكتشف.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
iocsent_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Check Point Cyberint API Key, Argos URL, and Customer Name: مطلوب مفتاح API للموصل وعنوان URL Argos واسم العميل

إرشادات الإعداد:

توصيل موجز Check Point Cyberint IOC ب Microsoft Sentinel

لتمكين الموصل، قم بتوفير المعلومات المطلوبة أدناه وانقر فوق Connect.

Argos URL — Cyberint API URL للمستأجر الخاص بك (على سبيل المثال https://your_tenant.cyberint.io) رمز API المميز — Cyberint API access token Customer Name — اسم الشركة (العميل) المقترن بمثيل Cyberint الخاص بك

  • Argos URL: (https://your-company.cyberint.io)
  • الرمز المميز لواجهة برمجة التطبيقات: (رمز API المميز)
  • اسم العميل: (اسم الشركة (العميل) المقترن بمثيل Cyberint الخاص بك)
  • تمكين/تعطيل الاتصال



Cisco ASA/FTD عبر AMA

مدعوم من قبل:Microsoft Corporation

يسمح لك موصل جدار حماية Cisco ASA بتوصيل سجلات Cisco ASA بسهولة Microsoft Sentinel، وعرض لوحات المعلومات، وإنشاء تنبيهات مخصصة، وتحسين التحقيق. يمنحك هذا المزيد من التفاصيل حول شبكة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommonSecurityLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • لجمع البيانات من الأجهزة الظاهرية غير Azure، يجب أن يكون لديهم Azure Arc مثبتا وممكنا. معرفة المزيد

إرشادات الإعداد:

تمكين قاعدة جمع البيانات

يتم جمع سجلات أحداث Cisco ASA/FTD فقط من وكلاء Linux.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

قم بتشغيل الأمر التالي لتثبيت وتطبيق مجمع Cisco ASA/FTD:

  • القيمة: <قيمة متغيرة متوفرة في وقت التثبيت>



Cisco Cloud Security (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يمكنك حل Cisco Cloud Security Microsoft Sentinel من استيعاب سجلاتCisco Secure AccessوCisco Umbrella المخزنة في Amazon S3 في Microsoft Sentinel باستخدام Amazon S3 REST API. راجع وثائق إدارة سجل Cisco Cloud Security لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Cisco_Umbrella_dns_CL نعم نعم
Cisco_Umbrella_proxy_CL نعم نعم
Cisco_Umbrella_ip_CL نعم نعم
Cisco_Umbrella_cloudfirewall_CL نعم نعم
Cisco_Umbrella_firewall_CL نعم نعم
Cisco_Umbrella_dlp_CL لا لا
Cisco_Umbrella_ravpnlogs_CL لا لا
Cisco_Umbrella_audit_CL لا لا
Cisco_Umbrella_ztna_CL لا لا
Cisco_Umbrella_intrusion_CL لا لا
Cisco_Umbrella_ztaflow_CL لا لا
Cisco_Umbrella_fileevent_CL لا لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات Amazon S3 REST API: معرف مفتاح الوصول AWS، مفتاح الوصول السري AWS، اسم مستودع AWS S3 مطلوب لواجهة برمجة تطبيقات Amazon S3 REST.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل وظائف Azure للاتصال بواجهة برمجة تطبيقات Amazon S3 REST لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

ملاحظه: تم تحديث هذا الموصل لدعم الإصدار 14 من مخطط سجل Cisco Cloud Security.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع تطبيق وظائف Azure.

ملاحظة: يستخدم هذا الموصل محلل يستند إلى وظيفة Kusto لتطبيع الحقول. اتبع هذه الخطوات لإنشاء الاسم المستعار لدالة Kusto Cisco_Umbrella.

الخطوة 1 - تكوين مجموعة سجلات Cisco Cloud Security

راجع الوثائق واتبع الإرشادات لإعداد التسجيل والحصول على بيانات الاعتماد.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ووظائف Azure المقترنة

الهامه: قبل نشر موصل بيانات Cisco Cloud Security، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى بيانات اعتماد تخويل Amazon S3 REST API، متاحة بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Cisco Cloud Security باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل وS3Bucket وAWSAccessKeyId وAWSSecretAccessKey Note: بالنسبة إلى S3Bucket، استخدم القيمة التي يشير إليها Cisco باسم مسار بيانات مستودع S3 وأضف / (شرطة مائلة للأمام) إلى نهاية القيمة

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Cisco Cloud Security يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير وظائف Azure.

  1. قم بتنزيل ملف دالات Azure App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب Application settings، حدد + New application setting.
  3. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSSecretAccessKey logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Cisco Cloud Security (باستخدام خطة مرنة متميزة) (باستخدام دالات Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Cisco Umbrella القدرة على استيعاب أحداث Cisco Umbrella المخزنة في Amazon S3 في Microsoft Sentinel باستخدام Amazon S3 REST API. راجع وثائق إدارة سجل Cisco Umbrella لمزيد من المعلومات.

ملاحظه: يستخدم موصل البيانات هذا دالات Azure Premium Plan لتمكين إمكانات الاستيعاب الآمنة وسيتكبد تكاليف إضافية. مزيد من تفاصيل التسعير هنا.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Cisco_Umbrella_dns_CL نعم نعم
Cisco_Umbrella_proxy_CL نعم نعم
Cisco_Umbrella_ip_CL نعم نعم
Cisco_Umbrella_cloudfirewall_CL نعم نعم
Cisco_Umbrella_firewall_CL نعم نعم
Cisco_Umbrella_dlp_CL لا لا
Cisco_Umbrella_ravpnlogs_CL لا لا
Cisco_Umbrella_audit_CL لا لا
Cisco_Umbrella_ztna_CL لا لا
Cisco_Umbrella_intrusion_CL لا لا
Cisco_Umbrella_ztaflow_CL لا لا
Cisco_Umbrella_fileevent_CL لا لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات Amazon S3 REST API: معرف مفتاح الوصول AWS، مفتاح الوصول السري AWS، اسم مستودع AWS S3 مطلوب لواجهة برمجة تطبيقات Amazon S3 REST.
  • أذونات الشبكة الظاهرية (للوصول الخاص): للوصول إلى حساب التخزين الخاص، يلزم الحصول على أذونات مساهم الشبكة على الشبكة الظاهرية والشبكة الفرعية. يجب تفويض الشبكة الفرعية إلى Microsoft.Web/serverFarms لتكامل Function App VNet.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل وظائف Azure للاتصال بواجهة برمجة تطبيقات Amazon S3 REST لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

ملاحظه: تم تحديث هذا الموصل لدعم الإصدار 14 من مخطط سجل مظلة cisco.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع تطبيق وظائف Azure.

ملاحظة: يستخدم هذا الموصل محلل يستند إلى وظيفة Kusto لتطبيع الحقول. اتبع هذه الخطوات لإنشاء الاسم المستعار لدالة Kusto Cisco_Umbrella.

الخطوة 1 - متطلبات الشبكة للوصول الخاص

الهامه: عند التوزيع مع الوصول إلى حساب التخزين الخاص، تأكد من استيفاء متطلبات الشبكة التالية:

  • الشبكة الظاهرية: يجب أن تكون الشبكة الظاهرية (VNet) موجودة متاحة
  • الشبكة الفرعية: يجب تفويض شبكة فرعية مخصصة داخل VNet إلى Microsoft.Web/serverFarms لتكامل Function App VNet
  • تفويض الشبكة الفرعية: تكوين تفويض الشبكة الفرعية باستخدام مدخل Azure أو قالب ARM أو Azure CLI:
    • مدخل Azure: انتقل إلى الشبكات الظاهرية → حدد الشبكات الفرعية → الشبكة الظاهرية → تحديد الشبكة الفرعية → تفويض الشبكة الفرعية للخدمة → اختر Microsoft.Web/serverFarms
    • Azure CLI:az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
  • نقاط النهاية الخاصة: سيؤدي التوزيع إلى إنشاء نقاط نهاية خاصة لخدمات حساب التخزين (كائن ثنائي كبير الحجم، ملف، قائمة انتظار، جدول) داخل نفس الشبكة الفرعية

الخطوة 2 - تكوين مجموعة سجلات Cisco Umbrella

راجع الوثائق واتبع الإرشادات لإعداد التسجيل والحصول على بيانات الاعتماد.

الخطوة 3 - اختر واحدا من خياري النشر التاليين لنشر الموصل ووظائف Azure المقترنة

الهامه: قبل نشر موصل بيانات Cisco Umbrella، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى بيانات اعتماد تخويل Amazon S3 REST API، متاحة بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات Cisco Umbrella باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل، مفتاح مساحة العمل، S3Bucket، AWSAccessKeyId، AWSSecretAccessKey

  4. لنشر الوصول الخاص: أدخل أيضا existingVnetName و existingVnetResourceGroupName و existingSubnetName (تأكد من تفويض الشبكة الفرعية إلى Microsoft.Web/serverFarms) ملاحظة: بالنسبة إلى S3Bucket، استخدم القيمة التي يشير إليها Cisco باسم مسار بيانات مستودع S3 وأضف / (شرطة مائلة للأمام) إلى نهاية القيمة

  5. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  6. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Cisco Umbrella يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير وظائف Azure.

  1. قم بتنزيل ملف دالات Azure App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب Application settings، حدد + New application setting.
  3. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSSecretAccessKey logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Cisco Duo Security (باستخدام وظائف Azure)

مدعوم من قبل:Cisco Systems

يوفر موصل بيانات أمان Cisco Duo القدرة على استيعاب سجلات المصادقةوسجلات المسؤولوسجلات الاتصالات الهاتفيةوسجلات التسجيل دون اتصالوأحداث مراقبة الثقة في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Cisco Duo مسؤول. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CiscoDuo_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد واجهة برمجة تطبيقات Cisco Duo: بيانات اعتماد واجهة برمجة تطبيقات Cisco Duo مع إذن منح سجل القراءة مطلوب لواجهة برمجة تطبيقات Cisco Duo. راجع الوثائق لمعرفة المزيد حول إنشاء بيانات اعتماد واجهة برمجة تطبيقات Cisco Duo.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Cisco Duo لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى دالة Kusto للعمل كما هو متوقع CiscoDuo الذي يتم توزيعه مع حل Microsoft Sentinel.

الخطوة 1 - الحصول على بيانات اعتماد واجهة برمجة تطبيقات Cisco Duo مسؤول

  1. اتبع الإرشادات للحصول على مفتاح التكامل والمفتاح السري واسم مضيف واجهة برمجة التطبيقات. استخدم منح إذن سجل القراءة في الخطوة الرابعة من الإرشادات.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل البيانات، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مساحة تخزين Azure Blob سلسلة الاتصال واسم الحاوية، متاحين بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل البيانات باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل Cisco Duo Integration Key وCisco Duo Secret Key وCisco Duo API Hostname وCisco Duo Log Types و Microsoft Sentinel Workspace Id و Microsoft Sentinel Shared Key

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل البيانات يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب Application settings، حدد + New application setting.
  3. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://WORKSPACE_ID.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Cisco ETD (باستخدام وظائف Azure)

مدعوم من قبل:N/A

يقوم الموصل بإحضار البيانات من واجهة برمجة تطبيقات ETD لتحليل التهديدات

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CiscoETD_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • Email Threat Defense API ومفتاح API ومعرف العميل والسر: تأكد من أن لديك مفتاح API ومعرف العميل والمفتاح السري.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات ETD لسحب سجلاتها إلى Microsoft Sentinel.

اتبع خطوات التوزيع لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات ETD، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات Cisco ETD باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

  3. أدخل WorkspaceID، SharedKey، ClientID، ClientSecret، ApiKey، الأحكام، منطقة ETD

  4. انقر فوق إنشاء للنشر.



Cisco Meraki (باستخدام واجهة برمجة تطبيقات REST)

مدعوم من قبل:Microsoft Corporation

يسمح لك موصل Cisco Meraki بتوصيل أحداث مؤسسة Cisco Meraki بسهولة (أحداث الأمان وتغييرات التكوين وطلبات واجهة برمجة التطبيقات) Microsoft Sentinel. يستخدم موصل البيانات Cisco Meraki REST API لجلب السجلات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل البيانات المستلمة وتدمج في ASIM والجداول المخصصة في مساحة عمل Log Analytics. يستفيد موصل البيانات هذا من قدرات مثل تصفية وقت الاستيعاب المستند إلى DCR، وتسوية البيانات.

مخطط ASIM المدعوم:

  1. جلسة عمل الشبكة
  2. جلسة عمل ويب
  3. حدث التدقيق

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ASimNetworkSessionLogs نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Cisco Meraki REST API Key: تمكين الوصول إلى واجهة برمجة التطبيقات في Cisco Meraki وإنشاء مفتاح واجهة برمجة التطبيقات. يرجى الرجوع إلى وثائق Cisco Meraki الرسمية لمزيد من المعلومات.
  • معرف Cisco Meraki Organization: احصل على معرف مؤسسة Cisco Meraki لجلب أحداث الأمان. اتبع الخطوات الواردة في الوثائق للحصول على معرف المؤسسة باستخدام مفتاح واجهة برمجة تطبيقات Meraki الذي تم الحصول عليه في الخطوة السابقة.

إرشادات الإعداد:

توصيل أحداث Cisco Meraki Microsoft Sentinel

حاليا، يسمح هذا الموصل لاستيعاب الأحداث من نقطة نهاية Cisco Meraki REST API التالية:

  1. الحصول على أحداث أمان الأجهزة التنظيمية يقوم هذا الموصل بتحليل أحداث تنبيه IDS في جدول ASimNetworkSessionLogs والأحداث الممسوحة ضوئيا في جدول ASimWebSessionLogs.
  2. الحصول على طلبات واجهة برمجة تطبيقات المؤسسة يوزع هذا الموصل الأحداث في جدول ASimWebSessionLogs.
  3. الحصول على تغييرات تكوين المؤسسة يقوم هذا الموصل بتحليل الأحداث في جدول ASimAuditEventLogs.
  • معرف المؤسسة: (معرف المؤسسة)
  • مفتاح API: (ApiKey)
  • تمكين/تعطيل الاتصال



Cisco Secure Endpoint (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Cisco Secure Endpoint (المعروف سابقا ب AMP لنقاط النهاية) القدرة على استيعاب سجلات وأحداث تدقيق Cisco Secure Endpoint في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CiscoSecureEndpointAuditLogsV2_CL نعم نعم
CiscoSecureEndpointEventsV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • بيانات اعتماد/مناطق واجهة برمجة تطبيقات نقطة النهاية الآمنة ل Cisco: لإنشاء بيانات اعتماد واجهة برمجة التطبيقات وفهم المناطق، اتبع ارتباط المستند المتوفر هنا. انقر هنا.

إرشادات الإعداد:

توصيل نقطة النهاية الآمنة ل Cisco Microsoft Sentinel

لاستيعاب البيانات من Cisco Secure Endpoint إلى Microsoft Sentinel، يجب النقر فوق الزر Add Account أدناه، ثم تحصل على نافذة منبثقة لملء التفاصيل مثل البريد الإلكتروني والمؤسسة ومعرف العميل ومفتاح API والمنطقة، وتوفير المعلومات المطلوبة والنقر فوق Connect. يمكنك مشاهدة المؤسسات/رسائل البريد الإلكتروني المتصلة في الشبكة أدناه.

  • شبكة موصلات البيانات (تكوين في المدخل)



Cisco Software Defined WAN

مدعوم من قبل:Cisco Systems

يوفر موصل بيانات Cisco Software Defined WAN (SD-WAN) القدرة على استيعاب بيانات Cisco SD-WAN Syslog وNetflow في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Syslog نعم نعم
CiscoSDWANNetflow_CL لا لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

لاستيعاب بيانات Cisco SD-WAN Syslog وNetflow في Microsoft Sentinel اتبع الخطوات أدناه.

1. خطوات استيعاب بيانات Syslog إلى Microsoft sentinel

سيتم استخدام Azure Monitor Agent لجمع بيانات syslog في Microsoft sentinel. لذلك تحتاج أولا إلى إنشاء خادم azure arc للجهاز الظاهري الذي سيتم إرسال بيانات syslog منه.

1.1 خطوات إضافة Azure Arc Server

  1. في مدخل Azure، انتقل إلى Servers - Azure Arc وانقر على Add.
  2. حدد إنشاء برنامج نصي ضمن قسم إضافة خادم واحد. يمكن للمستخدم أيضا إنشاء برامج نصية لخوادم متعددة أيضا.
  3. راجع المعلومات الموجودة في صفحة المتطلبات الأساسية، ثم حدد التالي.
  4. في صفحة Resource details، قم بتوفير الاشتراك ومجموعة الموارد Microsoft Sentinel والمنطقة ونظام التشغيل وطريقة الاتصال. ثم حدد التالي.
  5. في صفحة Tags، راجع علامات الموقع الفعلي الافتراضية المقترحة وأدخل قيمة، أو حدد علامة مخصصة واحدة أو أكثر لدعم معاييرك. ثم حدد التالي
  6. حدد تنزيل لحفظ ملف البرنامج النصي.
  7. الآن بعد أن قمت بإنشاء البرنامج النصي، فإن الخطوة التالية هي تشغيله على الخادم الذي تريد إلحاقه Azure Arc.
  8. إذا كان لديك Azure VM فاتبع الخطوات المذكورة في الارتباط قبل تشغيل البرنامج النصي.
  9. قم بتشغيل البرنامج النصي بواسطة الأمر التالي: ./<ScriptName>.sh
  10. بعد تثبيت العامل وتكوينه للاتصال بالخوادم التي تدعم Azure Arc، انتقل إلى مدخل Azure للتحقق من اتصال الخادم بنجاح. عرض جهازك في مدخل Azure. ارتباط مرجعي:/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 خطوات إنشاء قاعدة جمع البيانات (DCR)

  1. في مدخل Azure ابحث عن Monitor. ضمن الإعدادات، حدد قواعد جمع البيانات وحدد إنشاء.
  2. في لوحة الأساسيات، أدخل اسم القاعدة والاشتراك ومجموعة الموارد والمنطقة ونوع النظام الأساسي.
  3. حدد Next: Resources.
  4. حدد Add resources. استخدم عوامل التصفية للعثور على الجهاز الظاهري الذي ستستخدمه لجمع السجلات.
  5. حدد الجهاز الظاهري. حدد تطبيق.
  6. حدد Next: Collect and deliver.
  7. حدد Add data source. بالنسبة إلى نوع مصدر البيانات، حدد Linux syslog.
  8. بالنسبة إلى الحد الأدنى لمستوى السجل، اترك القيم الافتراضية LOG_DEBUG.
  9. حدد Next: Destination.
  10. حدد إضافة وجهة وأضف نوع الوجهة والاشتراك والحساب أو مساحة الاسم.
  11. حدد Add data source. حدد Next: Review + create.
  12. حدد إنشاء. انتظر لمدة 20 دقيقة. في Microsoft Sentinel أو Azure Monitor، تحقق من تشغيل عامل Azure Monitor على جهازك الظاهري. رابط المرجع:/azure/sentinel/forward-syslog-monitor-agent

2. خطوات استيعاب بيانات Netflow إلى Microsoft sentinel

لاستيعاب بيانات Netflow في Microsoft sentinel، يجب تثبيت Filebeat وLogstash وتكوينها على الجهاز الظاهري. بعد التكوين، سيتمكن الجهاز الظاهري من تلقي بيانات netflow على المنفذ الذي تم تكوينه وسيتم استيعاب هذه البيانات في مساحة عمل Microsoft sentinel.

2.1 تثبيت filebeat وlogstash

  1. لتثبيت filebeat وlogstash باستخدام apt، راجع هذا المستند:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. لتثبيت filebeat وlogstash لخطوات Linux المستندة إلى RedHat (yum) كما يلي:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 تكوين Filebeat لإرسال الأحداث إلى Logstash

  1. تحرير ملف filebeat.yml: vi /etc/filebeat/filebeat.yml
  2. التعليق على قسم Elasticsearch Output.
  3. Uncomment Logstash Output section (إلغاء التعليق على هذين الخطين فقط)- output.logstash hosts: ["localhost:5044"]
  4. في قسم إخراج Logstash، إذا كنت تريد إرسال بيانات أخرى غير المنفذ الافتراضي أي منفذ 5044، فاستبدل رقم المنفذ في حقل المضيفين. (ملاحظة: يجب إضافة هذا المنفذ في ملف التكوين، أثناء تكوين logstash.)
  5. في قسم "filebeat.inputs" التعليق على التكوين الموجود وإضافة التكوين التالي: - النوع: netflow max_message_size: 10KiB host: "0.0.0.0:2055" protocols: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions:
  • /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  1. في قسم إدخالات Filebeat، إذا كنت تريد تلقي البيانات بخلاف المنفذ الافتراضي أي منفذ 2055، فاستبدل رقم المنفذ في الحقل المضيف.
  2. أضف ملف custom.yml المتوفر داخل الدليل /etc/filebeat/.
  3. افتح منفذ الإدخال والإخراج ل filebeat في جدار الحماية.
  4. أمر التشغيل: firewall-cmd --zone=public --permanent --add-port=2055/udp
  5. أمر التشغيل: firewall-cmd --zone=public --permanent --add-port=5044/udp

ملاحظة: إذا تمت إضافة منفذ مخصص لإدخال/إخراج filebeat، فافتح هذا المنفذ في جدار الحماية.

2.3 تكوين Logstash لإرسال الأحداث إلى Microsoft Sentinel

  1. تثبيت المكون الإضافي Azure Log Analytics:
  2. تشغيل الأمر: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. قم بتخزين مفتاح مساحة عمل Log Analytics في مخزن مفاتيح Logstash. يمكن العثور على مفتاح مساحة العمل في مدخل Azure ضمن Log analytic workspace > Select workspace > Under Settings حدد Agent > Log Analytics agent instructions.
  4. انسخ المفتاح الأساسي وقم بتشغيل الأوامر التالية:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. إنشاء ملف التكوين /etc/logstash/cisco-netflow-to-sentinel.conf: الإدخال { يدق { port =><port_number> #(أدخل رقم منفذ الإخراج الذي تم تكوينه أثناء تكوين filebeat أي. filebeat.yml file .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

ملاحظة: إذا لم يكن الجدول موجودا في Microsoft sentinel، فسينشئ جدولا جديدا في sentinel.

2.4 تشغيل Filebeat:

  1. افتح محطة طرفية وقم بتشغيل الأمر: systemctl start filebeat
  2. سيبدأ هذا الأمر في تشغيل filebeat في الخلفية. لمشاهدة السجلات توقف filebeat (systemctl stop filebeat) ثم قم بتشغيل الأمر التالي: filebeat run -e

2.5 تشغيل Logstash:

  1. في محطة طرفية أخرى، قم بتشغيل الأمر: /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
  2. سيبدأ هذا الأمر في تشغيل logstash في الخلفية. لمشاهدة سجلات logstash، قم بإيقاف العملية المذكورة أعلاه وتشغيل الأمر التالي : /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf



كلاروتي xDome

مدعوم من قبل:xDome Customer Support

توفر Claroty xDome قدرات شاملة لإدارة الأمان والتنبيه لبيئات الرعاية الصحية والشبكات الصناعية. تم تصميمه لتعيين أنواع مصادر متعددة، وتحديد البيانات التي تم جمعها، ودمجها في نماذج البيانات Microsoft Sentinel. يؤدي هذا إلى القدرة على مراقبة جميع التهديدات المحتملة في بيئات الرعاية الصحية والصناعية في موقع واحد، مما يؤدي إلى مراقبة أمنية أكثر فعالية ووضع أمني أقوى.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommonSecurityLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

1. Linux تكوين عامل Syslog

قم بتثبيت عامل Linux وتكوينه لجمع رسائل Syslog بتنسيق الحدث الشائع (CEF) وإعادة توجيهها إلى Microsoft Sentinel.

لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة

1.1 تحديد جهاز Linux أو إنشائه

حدد أو أنشئ جهازا Linux سيستخدمه Microsoft Sentinel كوكيل بين حل الأمان الخاص بك Microsoft Sentinel يمكن أن يكون هذا الجهاز على البيئة المسبقة أو Azure أو السحب الأخرى.

1.2 تثبيت مجمع CEF على جهاز Linux

قم بتثبيت عامل مراقبة Microsoft على جهاز Linux وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP.

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python --version.

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك.

  • قم بتشغيل الأمر التالي لتثبيت وتطبيق مجمع CEF:< قيمة متغيرة متوفرة في وقت التثبيت>

2. إعادة توجيه سجلات تنسيق الأحداث الشائعة (CEF) إلى عامل Syslog

تكوين تكامل Claroty xDome - Microsoft Sentinel لجمع رسائل Syslog بتنسيق الحدث المشترك (CEF) وإعادة توجيهها إلى Microsoft Sentinel.

3. التحقق من صحة الاتصال

اتبع الإرشادات للتحقق من صحة الاتصال:

افتح Log Analytics للتحقق مما إذا تم تلقي السجلات باستخدام مخطط CommonSecurityLog.

قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.

إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python --version

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك

  • قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:: <قيمة متغيرة متوفرة في وقت التثبيت>

**4. تأمين جهازك **

تأكد من تكوين أمان الجهاز وفقا لنهج الأمان الخاص بمؤسستك

التعرف على المزيد >



Cloudflare (معاينة) (باستخدام وظائف Azure)

مدعوم من قبل:Cloudflare

يوفر موصل بيانات Cloudflare القدرة على استيعاب سجلات Cloudflare في Microsoft Sentinel باستخدام Cloudflare Logpush مساحة تخزين Azure Blob. راجع وثائق Cloudflare لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Cloudflare_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • مساحة تخزين Azure Blob سلسلة الاتصال واسم الحاوية: مساحة تخزين Azure Blob سلسلة الاتصال واسم الحاوية حيث يتم دفع السجلات إلى بواسطة Cloudflare Logpush. لمزيد من المعلومات، راجع إنشاء حاوية تخزين كائن ثنائي كبير الحجم Azure.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات تخزين كائن ثنائي كبير الحجم Azure لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف تخزين Azure Blob. تحقق من صفحة تسعير دالات Azureوصفحة تسعير blob Storage Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع Cloudflare الذي يتم نشره مع حل Microsoft Sentinel.

الخطوة 1 - تكوين Cloudflare Logpush

راجع الوثائق لإعداد Cloudflare Logpush إلى Microsoft Azure

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات Cloudflare، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مساحة تخزين Azure Blob سلسلة الاتصال واسم الحاوية، متاحان بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات Cloudflare باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل اسم حاوية تخزين الكائن الثنائي كبير الحجم Azure، Azure سلسلة اتصال تخزين كائن ثنائي كبير الحجم، Microsoft Sentinel معرف مساحة العمل، Microsoft Sentinel المفتاح المشترك

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Cloudflare يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال CloudflareXX).

    ه. حدد وقت التشغيل: اختر Python 3.8.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد + New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://WORKSPACE_ID.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Cloudflare (باستخدام حاوية Blob) (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Cloudflare

يوفر موصل بيانات Cloudflare القدرة على استيعاب سجلات Cloudflare في Microsoft Sentinel باستخدام Cloudflare Logpush مساحة تخزين Azure Blob. راجع وثائق Cloudflareلمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CloudflareV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • إنشاء حساب تخزين وحاوية: قبل إعداد logpush في Cloudflare، قم أولا بإنشاء حساب تخزين وحاوية في Microsoft Azure. استخدم هذا الدليل لمعرفة المزيد حول الحاوية وBlob. اتبع الخطوات الواردة في الوثائق لإنشاء حساب تخزين Azure.
  • إنشاء عنوان URL ل SAS للكائن الثنائي كبير الحجم: أذونات الإنشاء والكتابة مطلوبة. راجع الوثائق لمعرفة المزيد حول رمز SAS المميز ل Blob وعنوان URL.
  • تجميع السجلات من Cloudflare إلى حاوية Blob الخاصة بك: اتبع الخطوات الواردة في الوثائق لجمع السجلات من Cloudflare إلى حاوية Blob الخاصة بك.

إرشادات الإعداد:

توصيل سجلات Cloudflare Microsoft Sentinel

لتمكين سجلات Cloudflare Microsoft Sentinel، قم بتوفير المعلومات المطلوبة أدناه وانقر فوق Connect.

  • عنوان URL لحاوية Blob الذي تريد جمع البيانات منه:
  • اسم مجموعة موارد حساب تخزين حاوية Blob:
  • موقع حساب تخزين حاوية Blob:
  • معرف اشتراك حساب تخزين حاوية Blob:
  • اسم موضوع شبكة الحدث لحساب تخزين حاوية كائن ثنائي كبير الحجم إذا كان موجودا. وإلا تبقى فارغة.:
  • تمكين/تعطيل الاتصال



كوغني

مدعوم من قبل:Cognni

يوفر موصل Cognni تكاملا سريعا وبسيطا مع Microsoft Sentinel. يمكنك استخدام Cognni لتعيين المعلومات المهمة غير المصنفة مسبقا بشكل مستقل واكتشاف الحوادث ذات الصلة. يسمح لك هذا بالتعرف على المخاطر التي تتعرض لها معلوماتك الهامة، وفهم خطورة الحوادث، والتحقيق في التفاصيل التي تحتاج إلى معالجتها، بسرعة كافية لإحداث فرق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CognniIncidents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

الاتصال ب Cognni

  1. انتقل إلى صفحة تكامل Cognni
  2. انقر فوق "الاتصال" في مربع "Microsoft Sentinel"
  3. نسخ ولصق "workspaceId" و"sharedKey" (من الأسفل) إلى الحقول ذات الصلة على شاشة تكامل Cognni
  4. انقر فوق روبوت "الاتصال" لإكمال التكوين.
    قريبا، ستتم إعادة توجيه جميع الحوادث التي تم اكتشافها من Cognni هنا (إلى Microsoft Sentinel)

ليس مستخدم Cognni؟ انضم إلينا

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح المشترك: <قيمة متغيرة متوفرة في وقت التثبيت>



التماسك (باستخدام وظائف Azure)

مدعوم من قبل:التماسك

توفر تطبيقات وظيفة التماسك القدرة على استيعاب تنبيهات برامج الفدية الضارة ل Cohesity Datahawk في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Cohesity_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • مساحة تخزين Azure Blob سلسلة الاتصال واسم الحاوية: مساحة تخزين Azure Blob سلسلة الاتصال واسم الحاوية

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure التي تتصل مساحة تخزين Azure Blob وKeyVault. قد يؤدي ذلك إلى تكاليف إضافية. تحقق من صفحة تسعير دالات Azureوصفحة تسعير مساحة تخزين Azure Blob وصفحةتسعير Azure KeyVault للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - الحصول على مفتاح واجهة برمجة تطبيقات Cohesity DataHawk (راجع تعليمات استكشاف الأخطاء وإصلاحها 1)

الخطوة 2 - تسجيل تطبيق Azure (ارتباط) وحفظ معرف التطبيق (العميل) ومعرف الدليل (المستأجر) والقيمة السرية (الإرشادات). امنحه إذن تخزين Azure (user_impersonation). أيضا، قم بتعيين دور "Microsoft Sentinel Contributor" للتطبيق في الاشتراك المناسب.

الخطوة 3 - نشر الموصل ووظائف Azure المقترنة.

قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات التماسك باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلمات التي قمت بإنشائها في الخطوات السابقة

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.



CommvaultSecurityIQ

مدعوم من قبل:Commvault

تمكن وظيفة Azure هذه مستخدمي Commvault من استيعاب التنبيهات/الأحداث في مثيل Microsoft Sentinel الخاص بهم. باستخدام القواعد التحليلية، يمكن Microsoft Sentinel إنشاء حوادث Microsoft Sentinel تلقائيا من الأحداث والسجلات الواردة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommvaultAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • عنوان URL لنقطة نهاية بيئة Commvault: تأكد من اتباع الوثائق وتعيين القيمة السرية في KeyVault
  • رمز Commvault QSDK المميز: تأكد من اتباع الوثائق وتعيين القيمة السرية في KeyVault

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بمثيل Commvault لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين للرمز المميز ل Commvalut QSDK

اتبع هذه الإرشادات لإنشاء رمز مميز لواجهة برمجة التطبيقات.

الخطوة 2 - نشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات CommvaultSecurityIQ، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى عنوان URL لنقطة نهاية Commvault ورمز QSDK المميز، المتوفرين بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Commvault Security IQ.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل 'و/أو الحقول المطلوبة الأخرى' وانقر فوق التالي.

  4. انقر فوق إنشاء للنشر.



موصل دفع ADR التباين

مدعوم من قبل:Contrast Security

يوفر موصل Contrast Security القدرة على استيعاب أحداث الهجوم والحوادث من اكتشاف تطبيق التباين والاستجابة له (ADR) إلى Microsoft Sentinel. يتلقى هذا الموصل البيانات عبر آلية دفع خطاف الويب باستخدام مصادقة OAuth.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ContrastADRAttackEvents_CL لا لا
ContrastADRIncidents_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID (إذا كنت تستخدم تطبيقا تم إنشاؤه تلقائيا). يتطلب عادة دور مطور التطبيق أو أعلى.
  • Microsoft Azure: إذن لإنشاء موارد Azure وتكوينها (DCE وDCR والجداول) وتعيين أدوار التحكم في الوصول استنادا إلى الدور. يتطلب عادة أدوار المساهم ومسؤول وصول المستخدم.
  • Contrast ADR Webhook Access: الوصول إلى منصة Contrast ADR لتكوين خطاف الويب باستخدام إعدادات مصادقة OAuth.

إرشادات الإعداد:

1. توزيع موارد الموصل

انشر موارد Azure المطلوبة لاستيعاب بيانات Contrast ADR.

اختر خيار النشر

حدد أحد خيارات التوزيع التالية استنادا إلى المتطلبات:

سيؤدي النقر فوق Deploy Contrast ADR CCF Connector إلى إنشاء تلقائيا:

  • نقطة نهاية تجميع البيانات (DCE)
  • قاعدة جمع البيانات (DCR) مع تدفقات لأحداث الهجوم والحوادث
  • جداول Log Analytics (ContrastADRAttackEvents_CL ContrastADRIncidents_CL)
  • Microsoft Entra التطبيق مع بيانات اعتماد OAuth
  • تعيين الدور (ناشر مقاييس المراقبة) على DCR

بعد التوزيع: سيتم ملء جميع قيم التكوين (معرف المستأجر، معرف العميل، سر العميل، DCE URI، معرف DCR غير القابل للتغيير) تلقائيا أدناه لسهولة لصق النسخ في منصة التباين.

الخيار ب: استخدام تطبيق Microsoft Entra موجود مسبقا (BYOA)

سيؤدي النقر فوق Deploy Contrast ADR CCF Connector إلى إنشاء:

  • نقطة نهاية تجميع البيانات (DCE)
  • قاعدة جمع البيانات (DCR) مع تدفقات لأحداث الهجوم والحوادث
  • جداول Log Analytics (ContrastADRAttackEvents_CL ContrastADRIncidents_CL)
  • تطبيق Microsoft Entra (يمكنك تجاهل هذا)

متى تستخدم: إذا كان لديك تطبيق Entra موجود تريد إعادة استخدامه لأسباب تتعلق بالأمان أو التوافق. الخطوات الإضافية المطلوبة:

  1. بعد التوزيع، قم بتعيين دور Monitoring Metrics Publisher يدويا إلى مدير خدمة Entra App الموجود مسبقا على DCR الذي تم إنشاؤه
  2. استخدم معرف عميل تطبيق Entra الخاص بك وسر العميل (تجاهل المعرف الذي تم إنشاؤه تلقائيا أدناه)
  3. استخدم معرف DCE URI وDCR غير القابل للتغيير من أدناه في تكوين Contrast webhook

انقر فوق Deploy للبدء:

2. تكوين Contrast ADR Webhook

انسخ القيم التالية لتكوين تكامل Microsoft Sentinel في منصة Contrast ADR.

بالنسبة للخيار أ (إنشاء تلقائي Entra التطبيق): استخدم جميع القيم التي تم ملؤها تلقائيا أدناه. بالنسبة للخيار B (تطبيق Entra موجود مسبقا): استخدم DCE URI ومعرف DCR غير القابل للتغيير وأسماء Stream من أدناه، ولكن استخدم معرف المستأجر الخاص بتطبيق Entra ومعرف العميل وسر العميل.

قيم تكوين Azure:

  • معرف المستأجر: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف التطبيق (العميل):< قيمة المتغير المتوفرة في وقت التثبيت>
  • سر العميل: <قيمة متغيرة مقدمة في وقت التثبيت>
  • URI لنقطة نهاية تجميع البيانات (DCE):< قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات (DCR) غير القابل للتغيير: <قيمة المتغير المتوفرة في وقت التثبيت>
  • Attack Events Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • الحوادث Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>

التكوين في Contrast ADR Platform

  1. تسجيل الدخول إلى منصة Contrast ADR
  2. انتقل إلى عمليات تكامل > الإدارة > Microsoft Sentinel
  3. انسخ والصق جميع قيم التكوين من الأعلى:
    • معرف المستأجر
    • معرف التطبيق (العميل)
    • سر العميل
    • URI لنقطة نهاية تجميع البيانات (DCE)
    • معرف قاعدة جمع البيانات (DCR) غير القابل للتغيير
    • اسم Stream أحداث الهجوم
    • اسم Stream الحوادث
  4. انقر فوق حفظ لإكمال التكامل

سيقوم النظام الأساسي Contrast تلقائيا بتكوين مصادقة OAuth ونقاط نهاية البيانات باستخدام هذه القيم.

3. التحقق من استيعاب البيانات

تحقق من تدفق البيانات من Contrast ADR إلى Microsoft Sentinel.

خطوات التحقق من الصحة

  1. تشغيل حدث هجوم اختباري في Contrast ADR
  2. انتظر من 5 إلى 10 دقائق حتى تظهر البيانات في Microsoft Sentinel
  3. قم بتشغيل الاستعلام التالي للتحقق من أحداث الهجوم:
ContrastADRAttackEvents_CL
| take 10
  1. التحقق من بيانات الحوادث:
ContrastADRIncidents_CL
| take 10
  1. التحقق من الاتصال:
ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)

إذا ظهرت البيانات وأرجع IsConnected القيمة true، يتم تكوين الموصل بشكل صحيح!



مصدر موصل Corelight

مدعوم من قبل:Corelight

يمكن موصل بيانات Corelight مستجيبي الحوادث ومتتبعي التهديدات الذين يستخدمون Microsoft Sentinel للعمل بشكل أسرع وأكثر فعالية. يتيح موصل البيانات استيعاب الأحداث من Zeek و Suricata عبر مستشعرات Corelight في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Corelight لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع Corelight الذي يتم نشره مع Microsoft Sentinel Solution.

1. الحصول على الملفات

اتصل ب TAM أو SE أو info@corelight.com للحصول على الملفات المطلوبة لتكامل Microsoft Sentinel.

2. إعادة تشغيل بيانات العينة.

أعد تشغيل نموذج البيانات لإنشاء الجداول المطلوبة في مساحة عمل Log Analytics.

  • إرسال نموذج البيانات (مطلوب مرة واحدة فقط لكل مساحة عمل Log Analytics): <قيمة متغيرة متوفرة في وقت التثبيت>

3. تثبيت مصدر مخصص.

تثبيت المصدر المخصص أو حاوية logstash.

4. تكوين أداة استشعار Corelight لإرسال السجلات إلى عامل Azure Log Analytics.

باستخدام القيم التالية، قم بتكوين أداة استشعار Corelight لاستخدام مصدر Microsoft Sentinel. بدلا من ذلك، يمكنك تكوين حاوية logstash بهذه القيم وتكوين أداة الاستشعار لإرسال JSON عبر TCP إلى تلك الحاوية على المنفذ المناسب.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • مفتاح مساحة العمل الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



Cortex XDR - الحوادث

مدعوم من قبل:DEFEND Ltd.

موصل بيانات مخصص من DEFEND لاستخدام واجهة برمجة تطبيقات Cortex لاستيعاب الحوادث من النظام الأساسي Cortex XDR في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CortexXDR_Incidents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • بيانات اعتماد واجهة برمجة تطبيقات Cortex: الرمز المميز لواجهة برمجة تطبيقات Cortex مطلوب لواجهة برمجة تطبيقات REST. لمزيد من المعلومات، راجع واجهة برمجة التطبيقات. تحقق من جميع المتطلبات واتبع الإرشادات للحصول على بيانات الاعتماد.

إرشادات الإعداد:

تمكين Cortex XDR API

قم بتوصيل Cortex XDR Microsoft Sentinel عبر Cortex API لمعالجة أحداث Cortex.



Cribl

مدعوم من قبل:Cribl

يسمح لك موصل Cribl بتوصيل سجلات Cribl (Cribl Enterprise Edition - مستقل) بسهولة باستخدام Microsoft Sentinel. يمنحك هذا المزيد من رؤى الأمان في مسارات بيانات مؤسستك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CriblInternal_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

إرشادات التثبيت والإعداد Stream Cribl Microsoft Sentinel

استخدم الوثائق من مستودع Github هذا وقم بتكوين Cribl Stream باستخدام

https://docs.cribl.io/stream/usecase-azure-workspace/



موصل بيانات واجهة برمجة تطبيقات CrowdStrike (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يسمح موصل بيانات CrowdStrike استيعاب السجلات من واجهة برمجة تطبيقات CrowdStrike في Microsoft Sentinel. يوفر هذا الموصل القدرة على استيعاب تنبيهات CrowdStrike والكشفوالمضيفينوالحالات والثغرات الأمنية في Microsoft Sentinel. تم إنشاء هذا الموصل على Microsoft Sentinel Codeless Connector Framework ويستخدم واجهة برمجة تطبيقات CrowdStrike لجلب السجلات. وهو يدعم تحويلات وقت الاستيعاب المستندة إلى DCR بحيث يمكن تشغيل الاستعلامات بشكل أكثر كفاءة. راجع وثائق واجهة برمجة تطبيقات CrowdStrike لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CrowdStrikeAlerts نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Crowdstrike OAuth2 API Client and Scopes: Alerts, API Integrations, App Logs, Cases, Correlation Rules, Detections, Hosts, Assets, Incidents, Quarantined Files, Vulnerabilities مطلوبة لواجهة برمجة تطبيقات REST. لمزيد من المعلومات، راجع واجهة برمجة التطبيقات.

إرشادات الإعداد:

توصيل CrowdStrike Microsoft Sentinel

ملاحظة: إشعار مهم: يتم إيقاف تشغيل واجهة برمجة تطبيقات الحوادث بالكامل. استخدم نوع بيانات الحالات الجديد بدلا من ذلك.

لجمع البيانات من CrowdStrike، تحتاج إلى توفير الموارد التالية

1. عنوان URL لواجهة برمجة التطبيقات الأساسية - لجمع البيانات من CrowdStrike، ستحتاج إلى عنوان URL لواجهة برمجة التطبيقات الأساسية.

2. معرف العميل - لجمع البيانات من CrowdStrike، ستحتاج إلى معرف العميل.

3. سر العميل - لجمع البيانات من CrowdStrike، ستحتاج إلى سر العميل.

للحصول على إرشادات مفصلة حول استرداد عنوان URL لواجهة برمجة التطبيقات الأساسية ومعرف العميل وسر العميل، يرجى الرجوع إلى البرنامج التعليمي للموصل.

  • شبكة موصلات البيانات (تكوين في المدخل)

الاستعلام عن الاكتشافات (بعد الاتصال الناجح)

بمجرد استيعاب السجلات، يحتوي جدول CrowdStrikeDetections على سجلات تنبيه فردية مجمعة حسب aggregate_id. لعرض السلوك الحقيقي على مستوى الكشف، استخدم استعلام KQL التالي لتجميع التنبيهات بواسطة مجموعة الكشف الخاصة بهم:

CrowdStrikeDetections
| summarize
  AlertCount = count(),
  FirstSeen = min(CreatedTimestamp),
  LastSeen = max(CreatedTimestamp),
  MaxSeverity = max(Severity)
by AggregateId



CrowdStrike Falcon Adversary Intelligence (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يسترد موصل CrowdStrike Falcon Indicators of Compromise مؤشرات التسوية من واجهة برمجة تطبيقات Falcon Intel ويحملها Microsoft Sentinel Threat Intel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelIndicators نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • معرف عميل واجهة برمجة تطبيقات CrowdStrike وسر العميل: CROWDSTRIKE_CLIENT_IDCROWDSTRIKE_CLIENT_SECRETCROWDSTRIKE_BASE_URL. يجب أن تحتوي بيانات اعتماد CrowdStrike على نطاق قراءة المؤشرات (Falcon Intelligence).

إرشادات الإعداد:

الخطوة 1 - إنشاء بيانات اعتماد واجهة برمجة تطبيقات CrowdStrike.

تأكد من تحديد نطاق "المؤشرات (ذكاء الصقر)"

الخطوة 2 - تسجيل تطبيق Entra مع سر العميل.

قم بتوفير Entra App principal مع تعيين دور "Microsoft Sentinel Contributor" على مساحة عمل تحليلات السجل المعنية. كيفية تعيين الأدوار على Azure.

الخطوة 3 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل CrowdStrike Falcon Indicator of Compromise، يكون لديك معرف مساحة العمل (يمكن نسخه من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل CrowdStrike Falcon Adversary Intelligence باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. توفير المعلمات التالية: CrowdStrikeClientId، CrowdStrikeClientSecret، CrowdStrikeBaseUrl، WorkspaceId، TenantId، المؤشرات، AadClientId، AadClientSecret، LookBackDays

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل CrowdStrike Falcon Adversary Intelligence يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال CrowdStrikeFalconIOCXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.12.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID

  12. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



CrowdStrike Falcon Data Replicator (AWS S3) (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل Crowdstrike Falcon Data Replicator (S3) القدرة على استيعاب بيانات حدث FDR Microsoft Sentinel من مستودع AWS S3 حيث تم دفق سجلات FDR. يوفر الموصل القدرة على الحصول على الأحداث من Falcon Agents مما يساعد على فحص المخاطر الأمنية المحتملة وتحليل استخدام فريقك للتعاون وتشخيص مشكلات التكوين والمزيد.

ملاحظه:

1. يجب أن يكون ترخيص CrowdStrike FDR متوفرا & تمكينه.

2. يتطلب الموصل تكوين دور IAM على AWS للسماح بالوصول إلى مستودع AWS S3 وقد لا يكون مناسبا للبيئات التي تستفيد من CrowdStrike - المستودعات المدارة.

3. بالنسبة للبيئات التي تستفيد من المستودعات المدارة بواسطة CrowdStrike، يرجى تكوين موصل CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CrowdStrike_Additional_Events_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

المتطلبات: لاستخدام ميزة Falcon Data Replicator، يلزم ما يلي:

  1. الاشتراك: 1.1. Falcon Data Replicator. 1.2. Falcon Insight XDR.

  2. الأدوار: 2.1. مسؤول الصقر.

  3. قم بإعداد بيئات CrowdStrike & AWS لتكوين الوصول على AWS، استخدم القالبين التاليين المتوفرين لإعداد بيئة AWS. سيؤدي ذلك إلى تمكين إرسال السجلات من مستودع S3 إلى مساحة عمل Log Analytics.

لكل قالب، قم بإنشاء Stack في AWS:

  1. انتقل إلى AWS CloudFormation Stacks.
  2. اختر الخيار "تحديد قالب"، ثم "تحميل ملف قالب" بالنقر فوق "اختيار ملف" وتحديد ملف قالب CloudFormation المناسب المتوفر أدناه. انقر فوق "اختيار ملف" وحدد القالب الذي تم تنزيله.
  3. انقر فوق "التالي" و"إنشاء مكدس".

تأكد من إنشاء المستودع الخاص بك في نفس منطقة AWS مثل Falcon CID حيث يتم توفير موجز FDR. | منطقة CrowdStrike | منطقة AWS | |-----------------|-----------| | US-1 | us-west-1 | | US-2 | us-west-2 | | EU-1 | eu-central-1

  • القالب 1: توزيع مصادقة اتصال OpenID: <قيمة متغيرة متوفرة في وقت التثبيت>
  • القالب 2: توزيع موارد AWS CrowdStrike: <قيمة متغيرة متوفرة في وقت> التثبيت باستخدام مستودع S3 الخاص بك من أجل استخدام مستودع S3 الخاص بك يمكنك الرجوع إلى الدليل التالي استخدم مستودع S3 الخاص بك أو اتبع الخطوات التالية:
  1. إنشاء حالة دعم بالاسم التالي: استخدام مستودع S3 الذاتي ل FDR
  2. أضف المعلومات التالية: 2.1. Falcon CID حيث يتم توفير موجز FDR الخاص بك 2.2. حدد أنواع الأحداث التي ترغب في توفيرها في موجز FDR الجديد هذا. 2.3. حدد أنواع الأحداث التي ترغب في توفيرها في موجز FDR الجديد هذا. 2.4. لا تستخدم أي أقسام.
نوع الحدث بادئة S3
الأحداث الأساسية البيانات/
الأحداث الثانوية fdrv2/
  1. قم بتوصيل مجمعات جديدة لتمكين AWS S3 Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.
  • شبكة موصلات البيانات (تكوين في المدخل)



CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (باستخدام Azure Function) (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يتيح هذا الموصل استيعاب بيانات FDR في Microsoft Sentinel باستخدام وظائف Azure لدعم تقييم المخاطر الأمنية المحتملة وتحليل أنشطة التعاون وتحديد مشكلات التكوين ونتائج التحليلات التشغيلية الأخرى.

ملاحظه:

1. يجب أن يكون ترخيص CrowdStrike FDR متوفرا & تمكينه.

2. يستخدم الموصل المصادقة المستندة إلى Key & Secret وهو مناسب للمستودعات المدارة CrowdStrike.

3. بالنسبة للبيئات التي تستخدم مستودع AWS S3 مملوك بالكامل، توصي Microsoft باستخدام موصل CrowdStrike Falcon Data Replicator (AWS S3).

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CrowdStrikeReplicatorV2 لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات حساب SQS وAWS S3: مطلوب AWS_SECRETAWS_REGION_NAMEAWS_KEYQUEUE_URL . لمزيد من المعلومات، راجع سحب البيانات. للبدء، اتصل بدعم CrowdStrike. بناء على طلبك، سيقومون بإنشاء مستودع Amazon Web Services (AWS) S3 المدار من CrowdStrike لأغراض التخزين قصيرة الأجل بالإضافة إلى حساب SQS (خدمة قائمة انتظار بسيطة) لمراقبة التغييرات في مستودع S3.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب AWS SQS / S3 لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) قم بتخزين مفتاح (مفاتيح) تخويل API أو الرمز المميز (الرموز) بأمان في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

المتطلبات الأساسية

  1. تكوين FDR في CrowdStrike - يجب الاتصال بفريق دعم CrowdStrike لتمكين CrowdStrike FDR.
    • بمجرد تمكين CrowdStrike FDR، من وحدة تحكم CrowdStrike، انتقل إلى الدعم -> عملاء واجهة برمجة التطبيقات والمفاتيح.
    • تحتاج إلى إنشاء بيانات اعتماد جديدة لنسخ معرف مفتاح الوصول AWS ومفتاح الوصول السري ل AWS وعنوان URL لقائمة انتظار SQS ومنطقة AWS.
  2. تسجيل تطبيق AAD - ل DCR إلى authentiate لاستيعاب البيانات في تحليلات السجل، يجب عليك استخدام تطبيق AAD.
    • اتبع الإرشادات هنا (الخطوات من 1 إلى 5) للحصول على معرف مستأجر AAD ومعرف عميل AAD وAd Client Secret.
    • بالنسبة إلى معرف AAD الأساسي لهذا التطبيق، قم بالوصول إلى تطبيق AAD من خلال مدخل Microsoft Azure Active Directory والتقاط معرف العنصر من صفحة نظرة عامة على التطبيق.

خيارات التوزيع

اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل Crowdstrike Falcon Data Replicator V2 باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. توفير التفاصيل المطلوبة مثل Microsoft Sentinel Workspace وبيانات اعتماد CrowdStrike AWS وتفاصيل تطبيق Azure AD وتكوينات الاستيعاب

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. يوصى بإنشاء مجموعة موارد جديدة لتوزيع تطبيق الوظائف والموارد المرتبطة بها. 3. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 4. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل Crowdstrike Falcon Data Replicator يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع DCE وDCR والجداول المخصصة لاستيعاب البيانات

  2. انشر DCE وDCR (العناوين) والجداول المخصصة المطلوبة باستخدام قالب ARM لمورد تجميع البيانات

  3. بعد النشر الناجح ل DCE وDCR(s)، احصل على المعلومات أدناه واحتفظ بها في متناول اليد (مطلوبة أثناء نشر تطبيق دالات Azure).

  4. توزيع تطبيق الوظائف

  5. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  6. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.

  7. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

  8. تكوين تطبيق الوظائف

  9. انتقل إلى مدخل Azure لتكوين Function App.

  10. في Function App، حدد Function App Name وحدد Configuration.

  11. في علامة التبويب Application settings، حدد New application setting.

  12. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW «True إذا كانت البيانات الأولية مطلوبة USER_SELECTION_REQUIRE_SECONDARY «True إذا كانت البيانات الثانوية مطلوبة MAX_QUEUE_MESSAGES_MAIN_QUEUE » 100 للاستهلاك و150 ل Premium MAX_SCRIPT_EXEC_TIME_MINUTES « أضف قيمة 10 هنا AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK / الملف موجود على github. أضف ما إذا كان يمكن الوصول إلى الملف باستخدام الإنترنت REQUIRED_FIELDS_SCHEMA_LINK /File موجود على github. أضف ما إذا كان يمكن الوصول إلى الملف باستخدام internet Schedule /Add value as '0 */1 * * *' للتأكد من تشغيل الدالة كل دقيقة.

  13. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



CTERA Syslog

مدعوم من قبل:CTERA

يوفر موصل بيانات CTERA Microsoft Sentinel إمكانات المراقبة والكشف عن التهديدات لحل CTERA الخاص بك. يتضمن مصنفا يتصور مجموع جميع العمليات لكل نوع وعمليات حذف وعمليات وصول مرفوضة. كما يوفر قواعد تحليلية تكتشف حوادث برامج الفدية الضارة وتنبيهك عند حظر مستخدم بسبب نشاط برامج الفدية الضارة المشبوهة. بالإضافة إلى ذلك، يساعدك على تحديد الأنماط الهامة مثل الأحداث التي تم رفض الوصول الجماعي إليها، والحذف الجماعي، وتغييرات الأذونات الجماعية، ما يتيح إدارة التهديدات والاستجابة لها بشكل استباقي.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Syslog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

الخطوة 1: توصيل CTERA Platform ب Syslog

إعداد اتصال syslog لمدخل CTERA وموصل Syslog Edge-Filer

الخطوة 2: تثبيت عامل Azure Monitor (AMA) على Syslog Server

قم بتثبيت عامل Azure Monitor (AMA) على خادم syslog لتمكين جمع البيانات.



CTM360 CyberBlindSpot (بلا خادم)

مدعوم من قبل:إدارة التهديدات الإلكترونية 360

يوفر موصل CTM360 Cyber Blind Spot (CBS) التكامل مع منصة CBS الخاصة ب CTM360 لاستيعاب بيانات الأمان عبر 6 أنواع من الوحدات النمطية: الحوادث وسجلات البرامج الضارة وبيانات الاعتماد المخترقة والبطاقات المخترقة وانتهاك المجال وانتهاك المجال الفرعي. يستخدم هذا الموصل إطار عمل الموصل بدون تعليمات برمجية (CCF) لجمع البيانات بلا خادم.

أنواع البيانات:

  • CBSLog_AzureV2_CL
  • CBS_MalwareLogs_AzureV2_CL
  • CBS_BreachedCredentials_AzureV2_CL
  • CBS_CompromisedCards_AzureV2_CL
  • CBS_DomainInfringement_AzureV2_CL
  • CBS_SubdomainInfringement_AzureV2_CL

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CBSLog_AzureV2_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • CTM360 CBS API Key: مطلوب مفتاح CTM360 Cyber Blind Spot API صالح للاتصال بنقطة نهاية واجهة برمجة تطبيقات CBS.

إرشادات الإعداد:

توصيل CTM360 Cyber Blind Spot Microsoft Sentinel

يستخدم هذا الموصل إطار عمل الموصل بدون تعليمات برمجية (CCF) لاستيعاب البيانات من CTM360 CBS إلى Microsoft Sentinel. يتم جمع البيانات كل 5 دقائق عبر 6 أنواع مختلفة من الوحدات النمطية.

ملاحظة: ينشئ هذا الموصل 6 جداول منفصلة لمختلف أنواع وحدات CBS: الحوادث وسجلات البرامج الضارة وبيانات الاعتماد المخترقة والبطاقات المخترقة وانتهاك المجال والتعدي على المجال الفرعي.

الخطوة 1: الحصول على مفاتيح واجهة برمجة التطبيقات CTM360

لإعداد هذا التكامل، ستحتاج إلى مفتاح واجهة برمجة تطبيقات CBS. يمكنك الحصول على هذه المفاتيح باستخدام الارتباطات التالية:

تم العثور على مفتاح واجهة برمجة تطبيقات CBS من هذا الارتباط: https://platform.ctm360.com/start/integrations بعد تسجيل الدخول باستخدام حسابك

الخطوة 2: تكوين الاتصال

أدخل مفتاح CTM360 CBS API واتصل ببدء استيعاب البيانات.

  • CTM360 CBS API Key: (أدخل مفتاح واجهة برمجة تطبيقات CTM360 CBS)
  • تمكين/تعطيل الاتصال

الخطوة 3: التحقق من استيعاب البيانات

بعد الاتصال، يجب أن تبدأ البيانات في التدفق في غضون 5-10 دقائق. استخدم نماذج الاستعلامات أعلاه للتحقق من استيعاب البيانات لكل نوع وحدة نمطية.

ملاحظة: ملاحظة: قد يستغرق استيعاب البيانات الأولية ما يصل إلى 30 دقيقة. يستقصي الموصل كل 5 دقائق مع نافذة متجددة مدتها 5 دقائق.



CTM360 HackerView (بلا خادم)

مدعوم من قبل:إدارة التهديدات الإلكترونية 360

يمكنك موصل CTM360 HackerView من استيعاب مشكلات الأمان والثغرات الأمنية من منصة HackerView External Attack Surface Management في Microsoft Sentinel. يستخدم هذا الموصل بلا خادم واجهة برمجة تطبيقات REST لسحب بيانات المشكلة تلقائيا للتحليل والارتباط بأحداث الأمان الأخرى.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
HackerViewLog_AzureV2_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • HackerView API Key: مطلوب مفتاح واجهة برمجة تطبيقات HackerView صالح مع أذونات للوصول إلى بيانات المشكلات.

إرشادات الإعداد:

توصيل CTM360 HackerView Microsoft Sentinel

يستخدم هذا الموصل واجهة برمجة تطبيقات Rest HackerView لاستيعاب مشكلات الأمان تلقائيا في Microsoft Sentinel.

ملاحظة: هذا موصل بلا خادم يستخدم إطار عمل الموصل بدون تعليمات برمجية (CCF) الخاص Azure. لا يلزم توزيع وظيفة Azure.

الخطوة 1: الحصول على مفاتيح واجهة برمجة التطبيقات CTM360

لإعداد هذا التكامل، ستحتاج إلى HackerView API Key. يمكنك الحصول على هذه المفاتيح باستخدام الارتباطات التالية:

تم العثور على مفتاح واجهة برمجة تطبيقات HackerView من هذا الارتباط: https://platform.ctm360.com/start/integrations بعد تسجيل الدخول باستخدام حسابك

الخطوة 2: تكوين الموصل

أدخل مفتاح واجهة برمجة تطبيقات HackerView وانقر فوق اتصال لبدء استيعاب البيانات.

  • مفتاح واجهة برمجة التطبيقات: (أدخل مفتاح واجهة برمجة تطبيقات HackerView)
  • تمكين/تعطيل الاتصال

الخطوة 3: التحقق من استيعاب البيانات

بعد الاتصال، يجب أن تبدأ البيانات في التدفق في غضون 5-10 دقائق. قم بتشغيل الاستعلام التالي للتحقق من:

ملاحظة: HackerViewLog_AzureV2_CL | خذ 10



سجلات مخصصة عبر AMA

مدعوم من قبل:Microsoft Corporation

تقوم العديد من التطبيقات بتسجيل المعلومات إلى ملفات نصية أو JSON بدلا من خدمات التسجيل القياسية، مثل سجلات أحداث Windows أو Syslog أو CEF. يسمح لك موصل بيانات السجلات المخصصة بجمع الأحداث من الملفات على كل من أجهزة الكمبيوتر التي تعمل بنظامي التشغيل Windows و Linux ودفقها إلى جداول السجلات المخصصة التي أنشأتها. أثناء دفق البيانات، يمكنك تحليل المحتويات وتحويلها باستخدام DCR. بعد جمع البيانات، يمكنك تطبيق القواعد التحليلية والتتبع والبحث والتحليل الذكي للمخاطر والإثراء والمزيد.

ملاحظة: استخدم هذا الموصل للأجهزة التالية: Cisco Meraki، Zscaler Private Access (ZPA)، VMware vCenter، خادم Apache HTTP، Apache Tomcat، النظام الأساسي لتطبيق Jboss Enterprise، Juniper IDP، MarkLogic Audit، MongoDB Audit، خادم Nginx HTTP، خادم Oracle Weblogic، أحداث PostgreSQL، Squid Proxy، Ubiquiti UniFi، SecurityBridge Threat detection SAP وI vectra stream.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
JBossEvent_CL لا لا
JuniperIDP_CL نعم نعم
ApacheHTTPServer_CL نعم نعم
Tomcat_CL نعم نعم
meraki_CL نعم نعم
VectraStream_CL لا لا
MarkLogicAudit_CL لا لا
MongoDBAudit_CL نعم نعم
NGINX_CL نعم نعم
OracleWebLogicServer_CL نعم نعم
PostgreSQL_CL نعم نعم
SquidProxy_CL نعم نعم
Ubiquiti_CL نعم نعم
vcenter_CL نعم نعم
ZPA_CL نعم نعم
SecurityBridgeLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الأذونات: لجمع البيانات من الأجهزة الظاهرية غير Azure، يجب أن يكون لديهم Azure Arc مثبتا وممكنا. معرفة المزيد

إرشادات الإعداد:

تمكين قاعدة جمع البيانات

يتم جمع السجلات المخصصة من كل من Windows ووكلاء Linux.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>



تدقيق CyberArk

مدعوم من قبل:دعم CyberArk

يتيح موصل بيانات CyberArk Audit Microsoft Sentinel استيعاب سجلات أحداث الأمان والأحداث الأخرى من خدمة CyberArk Audit عبر واجهة برمجة تطبيقات REST. يساعدك هذا التكامل على اكتشاف المخاطر الأمنية المحتملة، ومراقبة نشاط المستخدم، وتحليل أنماط التعاون، واستكشاف مشكلات التكوين وإصلاحها، واكتساب رؤى أعمق حول بيئتك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyberArk_AuditEvents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • CyberArk Audit Service Platform: الوصول إلى تنفيذ التكوينات المطلوبة في النظام الأساسي لتدقيق CyberArk

إرشادات الإعداد:

اتصل بواجهة برمجة تطبيقات تدقيق CyberArk لبدء جمع سجلات الأحداث في Microsoft Sentinel

اتبع الخطوات أدناه لدمج Microsoft Sentinel مع CyberArk Audit وتمكين المراقبة المركزية لأنشطة النظام والمستخدم داخل Microsoft Sentinel. يمكنك أيضا الرجوع إلى وثائق CyberArk Audit والمتابعة حتى الخطوة 5.

الخطوة 1: إنشاء تكامل SIEM جديد

  1. في مدخل CyberArk، انتقل إلى Administration.
  2. حدد My environment>>IntegrationsExport to SIEM.
  3. في صفحة تكامل SIEM، حدد Create>Create SIEM integration
  4. في Create a SIEM integration الصفحة، حدد Identity Administration الارتباط لإنشاء ويب خادم OAuth في إدارة الهوية. الخطوة 2: إنشاء تطبيق ويب لخادم OAuth2 في إدارة الهوية
  5. في Identity Administration الصفحة، من القائمة اليسرى، حدد Apps & Widgets>Web Apps
  6. حدد Add Web Apps نوع تطبيق ويب وأنشئه OAuth2 serverCustom من علامة التبويب.
  7. أدخل CyberArkAuditforMicrosoftSentinel في الحقلين ApplicationID و Name .
  8. في Tokens علامة التبويب، تأكد من أن القيمة في Token Type الحقل هي jwtR256 ويتم تحديد أسلوب التخويل فقط Client Creds .
  9. انقر Add في Scope علامة التبويب وأدخل isp.audit.events:read.
  10. في علامة التبويب، انسخ Advanced البرنامج النصي التالي والصقه ثم انقر فوق حفظ.
		setClaim('tenant_id', TenantData.Get("CybrTenantID"));
		setClaim('aud', 'cyberark.isp.audit');
  1. انقر فوق Save. الخطوة 3: إنشاء مستخدم خدمة في إدارة الهوية
  2. انتقل إلى Core Services>Users، وحدد .Add User
  3. في Account القسم ، أدخل Login name و Display name ك MicrosoftSentinel. إضافة كلمة مرور جديدة أو إنشاء كلمة المرور تلقائيا.
  4. حدد OAuth confidential client.
  5. في Application Settings علامة التبويب، انقر فوق Add.
  6. CyberArkAuditforMicrosoftSentinel حدد التطبيق. هذا هو الاسم الذي أنشأته في خدمة الويب. الخطوة 4: منح أذونات تطبيق الويب لمستخدم الخدمة
  7. انتقل إلى تطبيق الويب الذي CyberArkAuditforMicrosoftSentinel أنشأته.
  8. في Permissions علامة التبويب، انقر Add للعثور على المستخدم MicrosoftSentinel ثم انقر فوق Add.
  9. تعيين الأذونات التالية للمستخدم:
    • المنح
    • عرض
    • تشغيل
    • توزيع الخطوة 5 تلقائيا: تحديد وصف التكامل
  10. الانتقال إل Administration
  11. حدد My environment>>IntegrationsExport to SIEM.
  12. حدد Create>Create SIEM integration.
  13. أدخل الاسم باسم Microsoft Sentinel Integration وأضف وصفا اختياريا.
  14. انقر فوق Apply. الخطوة 6: توصيل خدمة تدقيق CyberArk مع Microsoft Sentinel Data Connector

ملاحظه: انسخ جميع التفاصيل التي سجلتها في الخطوات السابقة واتصل بخدمة CyberArk Audit.

  • OAuth2 Server App Name: (على سبيل المثال، AuditforMicrosoftSentinel)
  • مفتاح واجهة برمجة تطبيقات التدقيق: (يمكن استرداد مفتاح واجهة برمجة التطبيقات من خدمة التدقيق)
  • نقطة نهاية الهوية: (على سبيل المثال، kln9281.id.cyberark.cloud)
  • تدقيق عنوان URL الأساسي لواجهة برمجة التطبيقات: (على سبيل المثال، org-test.audit.cyberark.cloud)
  • تدقيق إجراء عامل تصفية الاستعلام (اختياري): (على سبيل المثال{"op":"include","params":["cloud.core.login","cloud.core.mfasummary"]})
  • رمز تطبيق عامل تصفية استعلام التدقيق (اختياري): (على سبيل المثال{"op":"include","params":["IDP","CMS"]})
  • نوع تدقيق عامل تصفية استعلام التدقيق (اختياري): (على سبيل المثال{"op":"include","params":["Failure"]})



CyberArkAudit (باستخدام وظائف Azure)

مدعوم من قبل:دعم CyberArk

يوفر موصل بيانات تدقيق CyberArk القدرة على استرداد سجلات أحداث الأمان لخدمة تدقيق CyberArk والمزيد من الأحداث في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyberArk_AuditEvents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • تدقيق تفاصيل اتصالات REST API وبيانات الاعتماد: OauthUsernameوOauthPasswordوWebAppID و AuditApiKey و IdentityEndpoint و AuditApiBaseUrl مطلوبة لإجراء استدعاءات واجهة برمجة التطبيقات.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات تخزين كائن ثنائي كبير الحجم Azure لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف تخزين Azure Blob. تحقق من صفحة تسعير دالات Azureوصفحة تسعير blob Storage Azure للحصول على التفاصيل.

ملاحظه: يتم تخزين مفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها.

الخطوة 1 - خطوات التكوين لتكامل SIEM لتدقيق CyberArk

اتبع الإرشادات للحصول على تفاصيل الاتصال وبيانات الاعتماد.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات تدقيق CyberArk، يكون لديك اسم مساحة العمل وموقع مساحة العمل (يمكن نسخهما من ما يلي).

  • اسم مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • موقع مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات تدقيق CyberArk باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل CyberArkAuditUsername، CyberArkAuditPassword، CyberArkAuditServerURL وانشر. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات تدقيق CyberArk يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، CyberArkXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.10.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Cybersixgill Actionable Alerts (باستخدام دالات Azure)

مدعوم من قبل:Cybersixgill

توفر التنبيهات القابلة للتنفيذ تنبيهات مخصصة استنادا إلى الأصول المكونة

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyberSixgill_Alerts_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: Client_IDClient_Secret مطلوبة لإجراء استدعاءات واجهة برمجة التطبيقات.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Cybersixgill لسحب التنبيهات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف تخزين Azure Blob. تحقق من صفحة تسعير دالات Azureوصفحة تسعير blob Storage Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات التنبيهات القابلة للتنفيذ Cybersixgill باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل، ومفتاح مساحة العمل، ومعرف العميل، وسر العميل، و TimeInterval ونشره.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات التنبيهات القابلة للتنفيذ Cybersixgill يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، CybersixgillAlertsXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد + New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): ClientID ClientSecret Polling WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي:https://<CustomerId>.ods.opinsights.azure.us
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



تنبيهات رؤية Cyble

مدعوم من قبل:دعم Cyble

يتيح موصل بيانات CCF لتنبيهات Cyble Vision استيعاب تنبيهات التهديد من Cyble Vision إلى Microsoft Sentinel باستخدام موصل إطار عمل الموصل بدون تعليمات برمجية. يجمع بيانات التنبيه عبر واجهة برمجة التطبيقات، ويتطبيعها، ويخزنها في جدول مخصص للكشف المتقدم والارتباط والاستجابة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CybleVisionAlerts_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • رمز واجهة برمجة تطبيقات Cyble Vision: مطلوب رمز مميز لواجهة برمجة التطبيقات من Cyble Vision Platform.

إرشادات الإعداد:

الخطوة 1 - إنشاء رمز مميز لواجهة برمجة التطبيقات من Cyble Platform

انتقل إلى Cyble Platform وسجل الدخول باستخدام بيانات اعتماد Cyble Vision.

بمجرد تسجيل الدخول، انتقل إلى اللوحة اليسرى وقم بالتمرير لأسفل إلى الأدوات المساعدة. انقر فوق Access APIs. في الزاوية العلوية اليسرى من الصفحة، انقر فوق أيقونة + (إضافة) لإنشاء مفتاح API جديد. أدخل اسما مستعارا (اسما مألوفا لمفتاحك) وانقر فوق إنشاء. انسخ رمز واجهة برمجة التطبيقات الذي تم إنشاؤه وتخزينه بأمان.

الخطوة 2 - تكوين موصل البيانات

ارجع إلى Microsoft Sentinel وافتح صفحة تكوين موصل بيانات Cyble Vision Alerts. الصق الرمز المميز لواجهة برمجة تطبيقات Cyble في حقل الرمز المميز لواجهة برمجة التطبيقات ضمن "تفاصيل واجهة برمجة التطبيقات".

  • الرمز المميز لواجهة برمجة التطبيقات: (أدخل الرمز المميز لواجهة برمجة التطبيقات)
  • الفاصل الزمني للاستعلام (بالدقائق): (أدخل الوقت بالدقائق (على سبيل المثال، 10))
  • تمكين/تعطيل الاتصال



حزم Cyborg Security HUNTER Hunt

مدعوم من قبل:Cyborg Security

يعد Cyborg Security مزودا رائدا لحلول تتبع التهديدات المتقدمة، مع مهمة لتمكين المؤسسات من التكنولوجيا المتطورة والأدوات التعاونية للكشف عن التهديدات الإلكترونية والاستجابة لها بشكل استباقي. يجمع العرض الرئيسي ل Cyborg Security، منصة هنتر، بين التحليلات القوية ومحتوى تتبع التهديدات المنسق وقدرات إدارة التتبع الشاملة لإنشاء نظام بيئي ديناميكي لعمليات تتبع التهديدات الفعالة.

اتبع الخطوات للوصول إلى مجتمع أمان Cyborg وإعداد قدرات "فتح في الأداة" في منصة هنتر.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityEvent نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

ملاحظة: استخدم الارتباط التالي للعثور على معرف Azure Tentant كيفية العثور على معرف مستأجر Azure Active Directory

  • ResourceGroupName & WorkspaceName: <قيمة متغيرة متوفرة في وقت التثبيت>
  • WorkspaceID: <قيمة متغيرة متوفرة في وقت التثبيت>

1. التسجيل في حساب مجتمع Cyborg Security's HUNTER

يوفر Cyborg Security وصول Community Memebers إلى مجموعة فرعية من مجموعات التهديدات الناشئة وحزم التتبع.

إنشاء حساب Commuinity مجاني للوصول إلى حزم Cyborg Security's Hunt: التسجيل الآن!

2. تكوين ميزة فتح في الأداة

  1. انتقل إلى قسم البيئة في منصة هنتر.

  2. املأ te Root URI لبيئتك في القسم المسمى Microsoft Sentinel. استبدل العناصر> ذات <الغامق بمعرفات وأسماء الاشتراك ومجموعات الموارد ومساحات العمل.

    https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/

  3. انقر فوق حفظ.

3. تنفيذ هنتر مطاردة pacakge في Microsoft Sentinel

حدد حزمة البحث عن Cyborg Security HUNTER لنشر الزر Open In Tool واستخدامه لفتح Microsoft Sentinel وإعداد محتوى التتبع بسرعة.



Cyera DSPM Microsoft Sentinel Data Connector

مدعوم من قبل:Cyera Inc

يسمح لك موصل بيانات Cyera DSPM بالاتصال بمستأجر Cyera DSPM واستيعاب التصنيفات والأصول والمشكلات وموارد الهوية/التعريفات في Microsoft Sentinel. تم إنشاء موصل البيانات على إطار عمل الموصل بدون تعليمات برمجية Microsoft Sentinel ويستخدم واجهة برمجة تطبيقات Cyera لجلب بيانات تتبع الاستخدام DSPM ل Cyera بمجرد استلامها يمكن ربطها بأحداث الأمان التي تنشئ أعمدة مخصصة بحيث لا تحتاج الاستعلامات إلى تحليلها مرة أخرى، مما يؤدي إلى أداء أفضل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyeraClassifications_CL لا لا
CyeraAssets_CL لا لا
CyeraAssets_MS_CL لا لا
CyeraIssues_CL لا لا
CyeraIdentities_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

مصادقة DSPM Cyera

الاتصال ب Cyera DSPM tenenant عبر الرموز المميزة للوصول الشخصي

  • معرف عميل Cyera Personal Access Token: (client_id)
  • مفتاح سري Cyera Personal Access Token: (secret_key)
  • تمكين/تعطيل الاتصال



سطح هجوم CYFIRMA

مدعوم من قبل:CYFIRMA

N/A

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyfirmaASCertificatesAlerts_CL نعم نعم
CyfirmaASConfigurationAlerts_CL نعم نعم
CyfirmaASDomainIPReputationAlerts_CL نعم نعم
CyfirmaASOpenPortsAlerts_CL نعم نعم
CyfirmaASCloudWeaknessAlerts_CL نعم نعم
CyfirmaASDomainIPVulnerabilityAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

سطح هجوم CYFIRMA

اتصل ب CYFIRMA Attack Surface لاستيعاب التنبيهات في Microsoft Sentinel. يستخدم هذا الموصل واجهة برمجة تطبيقات DeCYFIR/DeTCT لاسترداد السجلات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR، وتحليل بيانات الأمان في جداول مخصصة أثناء الاستيعاب. وهذا يلغي الحاجة إلى تحليل وقت الاستعلام، وتعزيز الأداء والكفاءة.

  • عنوان URL لواجهة برمجة تطبيقات CYFIRMA: (https://decyfir.cyfirma.com)
  • مفتاح واجهة برمجة تطبيقات CYFIRMA: (مفتاح واجهة برمجة تطبيقات CYFIRMA)
  • API Delta: (API Delta)
  • تمكين/تعطيل الاتصال



CYFIRMA Brand Intelligence

مدعوم من قبل:CYFIRMA

N/A

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyfirmaBIDomainITAssetAlerts_CL نعم نعم
CyfirmaBIExecutivePeopleAlerts_CL نعم نعم
CyfirmaBIProductSolutionAlerts_CL نعم نعم
CyfirmaBISocialHandlersAlerts_CL نعم نعم
CyfirmaBIMaliciousMobileAppsAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

CYFIRMA Brand Intelligence

اتصل بذكاء العلامة التجارية CYFIRMA لاستيعاب بيانات التنبيهات في Microsoft Sentinel. يستخدم هذا الموصل واجهة برمجة تطبيقات تنبيهات DeCYFIR/DeTCT لاسترداد السجلات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR، وتحليل بيانات الأمان في جداول مخصصة أثناء الاستيعاب. وهذا يعزز الأداء والكفاءة من خلال التخلص من الحاجة إلى تحليل وقت الاستعلام.

  • عنوان URL لواجهة برمجة تطبيقات CYFIRMA: (https://decyfir.cyfirma.com)
  • مفتاح واجهة برمجة تطبيقات CYFIRMA: (مفتاح واجهة برمجة تطبيقات CYFIRMA)
  • API Delta: (API Delta)
  • تمكين/تعطيل الاتصال



حسابات CYFIRMA المخترقة

مدعوم من قبل:CYFIRMA

يتيح موصل بيانات CYFIRMA Compromised Accounts استيعاب السجل السلس من واجهة برمجة تطبيقات DeCYFIR/DeTCT إلى Microsoft Sentinel. استنادا إلى Microsoft Sentinel Codeless Connector Framework، فإنه يستفيد من واجهة برمجة تطبيقات DeCYFIR/DeTCT لاسترداد السجلات. بالإضافة إلى ذلك، فإنه يدعم تحويلات وقت الاستيعاب المستندة إلى DCR، والتي توزع بيانات الأمان في جدول مخصص أثناء الاستيعاب. وهذا يلغي الحاجة إلى تحليل وقت الاستعلام، وتعزيز الأداء والكفاءة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyfirmaCompromisedAccounts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

حسابات CYFIRMA المخترقة

يتيح موصل بيانات الحسابات المخترقة CYFIRMA استيعاب السجل السلس من واجهة برمجة تطبيقات DeCYFIR/DeTCT إلى Microsoft Sentinel. استنادا إلى Microsoft Sentinel Codeless Connector Framework، فإنه يستفيد من واجهة برمجة تطبيقات DeCYFIR/DeTCT لاسترداد السجلات. بالإضافة إلى ذلك، فإنه يدعم تحويلات وقت الاستيعاب المستندة إلى DCR، والتي توزع بيانات الأمان في جدول مخصص أثناء الاستيعاب. وهذا يلغي الحاجة إلى تحليل وقت الاستعلام، وتعزيز الأداء والكفاءة.

  • عنوان URL لواجهة برمجة تطبيقات CYFIRMA: (https://decyfir.cyfirma.com)
  • مفتاح واجهة برمجة تطبيقات CYFIRMA: (مفتاح واجهة برمجة تطبيقات CYFIRMA)
  • API Delta: (API Delta)
  • تمكين/تعطيل الاتصال



CYFIRMA Cyber Intelligence

مدعوم من قبل:CYFIRMA

يتيح موصل بيانات CYFIRMA Cyber Intelligence استيعاب السجل السلس من واجهة برمجة تطبيقات DeCYFIR إلى Microsoft Sentinel. استنادا إلى Microsoft Sentinel Codeless Connector Framework، فإنه يستفيد من واجهة برمجة تطبيقات تنبيهات DeCYFIR لاسترداد السجلات. بالإضافة إلى ذلك، فإنه يدعم تحويلات وقت الاستيعاب المستندة إلى DCR، والتي توزع بيانات الأمان في جدول مخصص أثناء الاستيعاب. وهذا يلغي الحاجة إلى تحليل وقت الاستعلام، وتعزيز الأداء والكفاءة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyfirmaIndicators_CL نعم نعم
CyfirmaThreatActors_CL نعم نعم
CyfirmaCampaigns_CL نعم نعم
CyfirmaMalware_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

CYFIRMA Cyber Intelligence

يوفر هذا الموصل المؤشرات والجهات الفاعلة في التهديد والبرامج الضارة وسجلات الحملات من CYFIRMA Cyber Intelligence. يستخدم الموصل واجهة برمجة تطبيقات DeCYFIR لاسترداد السجلات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR، وتحليل بيانات الأمان في جدول مخصص أثناء الاستيعاب. وهذا يلغي الحاجة إلى تحليل وقت الاستعلام، وتعزيز الأداء والكفاءة.

  • عنوان URL لواجهة برمجة تطبيقات CYFIRMA: (https://decyfir.cyfirma.com)
  • مفتاح واجهة برمجة تطبيقات CYFIRMA: (مفتاح واجهة برمجة تطبيقات CYFIRMA)
  • اسحب جميع IoC أو IoC المخصص: (جميع IoC أو IoC المخصص)
  • API Delta: (API Delta)
  • الإجراءات الموصى بها: (يمكن أن يكون الإجراء الموصى به أحد:All/Monitor/Block)
  • ممثل التهديد المرتبط: (هل أي ممثل تهديد مرتبط ب IoC)
  • تمكين/تعطيل الاتصال



المخاطر الرقمية ل CYFIRMA

مدعوم من قبل:CYFIRMA

يتيح موصل بيانات CYFIRMA Digital Risk Alerts استيعاب السجل السلس من واجهة برمجة تطبيقات DeCYFIR/DeTCT إلى Microsoft Sentinel. استنادا إلى Microsoft Sentinel Codeless Connector Framework، فإنه يستفيد من واجهة برمجة تطبيقات تنبيهات DeCYFIR لاسترداد السجلات. بالإضافة إلى ذلك، فإنه يدعم تحويلات وقت الاستيعاب المستندة إلى DCR، والتي توزع بيانات الأمان في جدول مخصص أثناء الاستيعاب. وهذا يلغي الحاجة إلى تحليل وقت الاستعلام، وتعزيز الأداء والكفاءة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyfirmaDBWMPhishingAlerts_CL نعم نعم
CyfirmaDBWMRansomwareAlerts_CL نعم نعم
CyfirmaDBWMDarkWebAlerts_CL نعم نعم
CyfirmaSPESourceCodeAlerts_CL نعم نعم
CyfirmaSPEConfidentialFilesAlerts_CL نعم نعم
CyfirmaSPEPIIAndCIIAlerts_CL نعم نعم
CyfirmaSPESocialThreatAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

المخاطر الرقمية ل CYFIRMA

اتصل بتنبيهات المخاطر الرقمية CYFIRMA لاستيعاب السجلات في Microsoft Sentinel. يستخدم هذا الموصل واجهة برمجة تطبيقات DeCYFIR/DeTCT لاسترداد التنبيهات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR لتحليل السجل الفعال.

  • عنوان URL لواجهة برمجة تطبيقات CYFIRMA: (https://decyfir.cyfirma.com)
  • مفتاح واجهة برمجة تطبيقات CYFIRMA: (مفتاح واجهة برمجة تطبيقات CYFIRMA)
  • API Delta: (API Delta)
  • تمكين/تعطيل الاتصال



التحليل الذكي للثغرات الأمنية في CYFIRMA

مدعوم من قبل:CYFIRMA

يتيح موصل بيانات CYFIRMA Vulnerabilities Intelligence استيعاب السجل السلس من واجهة برمجة تطبيقات DeCYFIR إلى Microsoft Sentinel. استنادا إلى Microsoft Sentinel Codeless Connector Framework، فإنه يستفيد من واجهة برمجة تطبيقات CYFIRMA لاسترداد السجلات. بالإضافة إلى ذلك، فإنه يدعم تحويلات وقت الاستيعاب المستندة إلى DCR، والتي توزع بيانات الأمان في جدول مخصص أثناء الاستيعاب. وهذا يلغي الحاجة إلى تحليل وقت الاستعلام، وتعزيز الأداء والكفاءة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyfirmaVulnerabilities_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

التحليل الذكي للثغرات الأمنية في CYFIRMA

يوفر هذا الموصل سجلات الثغرات الأمنية من CYFIRMA Vulnerabilities Intelligence. يستخدم الموصل واجهة برمجة تطبيقات DeCYFIR لاسترداد السجلات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR، وتحليل بيانات الأمان في جدول مخصص أثناء الاستيعاب. وهذا يلغي الحاجة إلى تحليل وقت الاستعلام، وتعزيز الأداء والكفاءة.

  • عنوان URL لواجهة برمجة تطبيقات CYFIRMA: (https://decyfir.cyfirma.com)
  • مفتاح واجهة برمجة تطبيقات CYFIRMA: (مفتاح واجهة برمجة تطبيقات CYFIRMA)
  • API Delta: (API Delta)
  • الثغرات الأمنية المرتبطة بالمورد:
  • الثغرات الأمنية المرتبطة بالمنتج:
  • المنتج ذو الثغرات الأمنية Version-Associated:
  • تمكين/تعطيل الاتصال



أحداث أمان Cynerio

مدعوم من قبل:Cynerio

يسمح لك موصل Cynerio بتوصيل أحداث أمان Cynerio بسهولة Microsoft Sentinel، لعرض أحداث IDS. يمنحك هذا مزيدا من التفاصيل حول وضع أمان شبكة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CynerioEvent_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

تكوين اتصال Cynerio

يمكن ل Cynerio التكامل مع الأحداث وتصديرها مباشرة إلى Microsoft Sentinel عبر Azure Server. اتبع هذه الخطوات لإنشاء التكامل:

  1. في وحدة تحكم Cynerio، انتقل إلى علامة التبويب Settings > Integrations (افتراضي)، وانقر فوق الزر +Add Integration في أعلى اليمين.

  2. مرر لأسفل إلى قسم SIEM .

  3. على بطاقة Microsoft Sentinel، انقر فوق الزر اتصال.

  4. يتم فتح نافذة تفاصيل التكامل. استخدم المعلمات أدناه لملء النموذج وإعداد الاتصال.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



Cyren Threat Intelligence

مدعوم من قبل:Data443 Risk Mitigation, Inc.

استيعاب سمعة IP ومؤشرات URL للبرامج الضارة من Cyren باستخدام إطار عمل الموصل المشترك (CCF).

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Cyren_Indicators_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • رموز Cyren JWT المميزة: رموز JWT المميزة المخزنة في Azure Key Vault أو المقدمة في وقت التوزيع.

إرشادات الإعداد:

توصيل التحليل الذكي للمخاطر في Cyren

لتمكين موصل Cyren Threat Intelligence، قم بتوفير رموز JWT المميزة أدناه وانقر فوق Connect.

ملاحظه: يمكنك استخدام إما الموجز أو كليهما اعتمادا على اشتراكك. اترك حقل الرمز المميز فارغا لأي موجز لم تقم بشراؤه - سيتم نشر الموصلات للرموز المميزة المتوفرة فقط.

لتحسين الأمان، يمكنك تمكين تكامل Key Vault لتخزين رموز JWT المميزة واستردادها.

  • رمز JWT المميز لسمعة IP (اختياري): (اتركه فارغا إذا لم يتم شراؤه)
  • رمز JWT المميز (اختياري): (اتركه فارغا إذا لم يتم شراؤه)
  • تمكين/تعطيل الاتصال



D3 Smart SOAR Incidents

مدعوم من قبل:D3 Security

يسحب موصل بيانات D3 Smart SOAR الحوادث من D3 Smart SOAR إلى Microsoft Sentinel باستخدام نقطة نهاية الأمر REST API بدون تعليمات برمجية D3.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
D3SOARIncidents_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

توصيل D3 Smart SOAR Microsoft Sentinel

المتطلبات الأساسية: في D3 Smart SOAR، انتقل إلى Organization Management → Sites، وحدد الموقع الذي تقوم بتوصيله، وقم بتعيين المنطقة الزمنية الخاصة به إلى (UTC+00:00) التوقيت العالمي المتفق عليه. وهذا يضمن محاذاة الطوابع الزمنية للحوادث بشكل صحيح مع Microsoft Sentinel.

أدخل تفاصيل اتصال D3 Smart SOAR أدناه. سيتم استقصاء الحوادث كل 5 دقائق وكتابتها في جدول D3SOARIncidents_CL. عنوان URL للخادم - عنوان URL الأساسي لتوزيع D3 Smart SOAR، حتى مسار الموقع وتضمينه. لا تقم بتضمين مسار واجهة برمجة التطبيقات. Username — اسم مستخدم حساب D3 Smart SOAR (مثل تسجيل الدخول إلى المدخل). Site — اسم موقع D3 Smart SOAR الذي ينتمي إليه حسابك (على سبيل المثال Security Operations). D3 JWT — رمز ويب JSON المميز الصادر عن D3 Smart SOAR لمصادقة واجهة برمجة التطبيقات.

  • عنوان URL للخادم: (https://poc.bemimo.com/ce_site/VSOC)
  • اسم المستخدم: (المسؤول)
  • الموقع: (عمليات الأمان)
  • D3 JWT: (ey...)
  • تمكين/تعطيل الاتصال



موصل Darktrace لواجهة برمجة تطبيقات REST Microsoft Sentinel

مدعوم من قبل:Darktrace

يدفع موصل واجهة برمجة تطبيقات Rest Darktrace الأحداث في الوقت الحقيقي من Darktrace إلى Microsoft Sentinel وتم تصميمه لاستخدامه مع حل Darktrace Sentinel. يكتب الموصل السجلات إلى جدول سجل مخصص بعنوان "darktrace_model_alerts_CL"؛ يمكن استيعاب خروقات النموذج وحوادث محلل الذكاء الاصطناعي وتنبيهات النظام وتنبيهات البريد الإلكتروني - يمكن إعداد عوامل تصفية إضافية على صفحة تكوين نظام Darktrace. يتم دفع البيانات إلى Sentinel من سادة Darktrace.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
darktrace_model_alerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • المتطلبات الأساسية ل Darktrace: لاستخدام موصل البيانات هذا، يلزم وجود نسخة رئيسية من Darktrace تعمل بنظام v5.2+ . يتم إرسال البيانات إلى Azure مراقبة HTTP Data Collector API عبر HTTPs من Darktrace masters، لذلك يلزم الاتصال الصادر من Darktrace master إلى Microsoft Sentinel REST API.
  • تصفية بيانات Darktrace: أثناء التكوين، من الممكن إعداد تصفية إضافية على صفحة تكوين نظام Darktrace لتقييد كمية البيانات المرسلة أو أنواعها.
  • جرب حل Sentinel Darktrace: يمكنك تحقيق أقصى استفادة من هذا الموصل عن طريق تثبيت حل Darktrace ل Microsoft Sentinel. سيوفر هذا مصنفات لتصور بيانات التنبيه وقواعد التحليلات لإنشاء التنبيهات والحوادث تلقائيا من انتهاكات نموذج Darktrace وحوادث محلل الذكاء الاصطناعي.

إرشادات الإعداد:

  1. يمكن العثور على إرشادات الإعداد التفصيلية على مدخل عملاء Darktrace: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. دون معرف مساحة العمل والمفتاح الأساسي. ستحتاج إلى إدخال هذه التفاصيل في صفحة تكوين نظام Darktrace.
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

تكوين Darktrace

  1. نفذ الخطوات التالية في صفحة تكوين نظام Darktrace:
  2. انتقل إلى صفحة تكوين النظام (القائمة > الرئيسية مسؤول > تكوين النظام)
  3. انتقل إلى تكوين الوحدات وانقر على بطاقة التكوين "Microsoft Sentinel"
  4. حدد "HTTPS (JSON)" واضغط على "جديد"
  5. املأ التفاصيل المطلوبة وحدد عوامل التصفية المناسبة
  6. انقر فوق "التحقق من إعدادات التنبيه" لمحاولة المصادقة وإرسال تنبيه اختبار
  7. تشغيل نموذج استعلام "البحث عن تنبيهات الاختبار" للتحقق من تلقي تنبيه الاختبار



DataBahn

مدعوم من قبل:Databahn

يوفر موصل DataBahn القدرة على دفع بيانات تتبع الاستخدام للنظام الأساسي في الوقت الحقيقي من بيئة DataBahn مباشرة إلى Microsoft Sentinel باستخدام نمط دفع إطار عمل الموصل بدون تعليمات برمجية (CCF). يدمج هذا الموصل سجلات التدقيق والتنبيهات التشغيلية ومخزون الجهاز في جداول Log Analytics المخصصة للتحليل والتنبيه والتصور.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
databahn_audit_logs_CL لا لا
databahn_alerts_CL لا لا
databahn_device_inventory_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR). يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يمكن هذا الموصل النظام الأساسي DataBahn الخاص بك من دفع سجلات التدقيق والتنبيهات ومخزون الجهاز مباشرة إلى Microsoft Sentinel عبر واجهة برمجة تطبيقات Azure Monitor Ingestion.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. تكوين النظام الأساسي DataBahn الخاص بك

استخدم المعلمات التالية لتكوين وجهة طريق DataBahn السريع لدفع البيانات إلى مساحة العمل.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • سجل التدقيق Stream الاسم: <قيمة متغيرة متوفرة في وقت التثبيت>
  • التنبيهات Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • اسم Stream مخزون الجهاز: <قيمة متغيرة متوفرة في وقت التثبيت>



Datalake2Sentinel

مدعوم من قبل:Orange Cyberdefense

يقوم هذا الحل بتثبيت موصل Datalake2Sentinel الذي تم إنشاؤه باستخدام Codeless Connector Framework ويسمح لك ب استيعاب مؤشرات التحليل الذكي للمخاطر تلقائيا من النظام الأساسي CTI ل Datalake Orange Cyberdefense في Microsoft Sentinel عبر واجهة برمجة تطبيقات REST لمؤشرات التحميل. بعد تثبيت الحل، قم بتكوين موصل البيانات هذا وتمكينه باتباع الإرشادات الواردة في إدارة طريقة عرض الحل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

إرشادات التثبيت والإعداد

استخدم الوثائق من مستودع Github هذا لتثبيت وتكوين Datalake إلى Microsoft Sentinel الموصل.

https://github.com/cert-orangecyberdefense/datalake2sentinel



Dataminr Pulse Alerts Data Connector (باستخدام وظائف Azure)

مدعوم من قبل:دعم Dataminr

يوفر Dataminr Pulse Alerts Data Connector معلوماتنا في الوقت الحقيقي التي تعمل بالذكاء الاصطناعي في Microsoft Sentinel للكشف عن التهديدات والاستجابة لها بشكل أسرع.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DataminrPulse_Alerts_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في Microsoft Entra ID وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات Dataminr المطلوبة:

أ. يجب أن يكون لدى المستخدمين معرف عميل Dataminr Pulse API صالح وسري لاستخدام موصل البيانات هذا.

ب. يجب تكوين قائمة واحدة أو أكثر من قوائم Dataminr Pulse Watchlists في موقع Dataminr Pulse على الويب.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب DataminrPulse حيث يتم دفع السجلات عبر Dataminr RTAP وسيدخل السجلات في Microsoft Sentinel. علاوة على ذلك، سيقوم الموصل بإحضار البيانات التي تم استيعابها من جدول السجلات المخصصة وإنشاء مؤشرات التحليل الذكي للمخاطر في Microsoft Sentinel التحليل الذكي للمخاطر. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1- بيانات اعتماد معرف عميل Dataminr Pulse وسر العميل

  • احصل على معرف مستخدم Dataminr Pulse/كلمة المرور ومعرف/سر عميل واجهة برمجة التطبيقات من Dataminr Customer Success Manager (CSM).

الخطوة 2- تكوين قوائم المشاهدة في مدخل Dataminr Pulse.

اتبع الخطوات الواردة في هذا القسم لتكوين قوائم المشاهدة في المدخل:

  1. تسجيل الدخول إلى موقع Dataminr Pulse على الويب.

  2. انقر فوق أيقونة ترس الإعدادات، وحدد إدارة القوائم.

  3. حدد نوع قائمة المشاهدة التي تريد إنشاؤها (Cyber و Topic و Company وما إلى ذلك) وانقر فوق الزر New List .

  4. أدخل اسما لقائمة المشاهدة الجديدة، وحدد لون تمييز لها، أو احتفظ باللون الافتراضي.

  5. عند الانتهاء من تكوين قائمة المراقبة، انقر فوق حفظ لحفظها.

الخطوة 3 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ DataminrPulse Data Connector.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 4 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ DataminrPulse Data Connector. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ DataminrPulse Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 5 - تعيين دور المساهم للتطبيق في Microsoft Entra ID

اتبع الخطوات الواردة في هذا القسم لتعيين الدور:

  1. في مدخل Azure، انتقل إلى مجموعة الموارد وحدد مجموعة الموارد الخاصة بك.
  2. انتقل إلى Access control (IAM) من اللوحة اليسرى.
  3. انقر فوق إضافة، ثم حدد إضافة تعيين دور.
  4. حدد المساهم كدور وانقر فوق التالي.
  5. في تعيين الوصول إلى، حدد User, group, or service principal.
  6. انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
  7. انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.

رابط المرجع:/azure/role-based-access-control/role-assignments-portal

الخطوة 6 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر Dataminr Pulse Microsoft Sentinel موصل البيانات، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل DataminrPulse.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Function Name Workspace ID Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر Dataminr Pulse Microsoft Sentinel موصل البيانات يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

1) نشر تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، DmPulseXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.8 أو أعلى.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

2) تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب Application settings، حدد + New application setting.
  3. أضف كل من إعدادات التطبيق التالية بشكل فردي، بقيمها الخاصة (حساسة لحالة الأحرف): Function Name Workspace ID Workspace Key AlertsTableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

الخطوة 7 - خطوات ما بعد التوزيع

1) الحصول على نقطة نهاية تطبيق الوظائف

  1. انتقل إلى صفحة نظرة عامة على الدالة Azure وانقر فوق "Functions" في الجزء الأيسر.
  2. انقر فوق الدالة المسماة "DataminrPulseAlertsHttpStarter".
  3. انتقل إلى "GetFunctionurl" وانسخ عنوان url للدالة.
  4. استبدل {functionname} ب "DataminrPulseAlertsSentinelOrchestrator" في عنوان URL للدالة المنسوخة.

2) لإضافة إعدادات التكامل في Dataminr RTAP باستخدام عنوان URL للوظيفة

  1. افتح أي أداة طلب واجهة برمجة تطبيقات مثل Postman.
  2. انقر فوق '+' لإنشاء طلب جديد.
  3. حدد أسلوب طلب HTTP ك "POST".
  4. أدخل عنوان url مسبق الدفع في النقطة 1)، في جزء عنوان URL للطلب.
  5. في Body، حدد JSON الخام وقم بتوفير نص الطلب كما يلي(حساس لحالة الأحرف): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. بعد توفير جميع التفاصيل المطلوبة، انقر فوق إرسال.
  7. ستتلقى معرف إعداد تكامل في استجابة HTTP مع رمز حالة 200.
  8. احفظ معرف التكامل للرجوع إليه في المستقبل.

الآن انتهينا من إضافة إعدادات التكامل ل Dataminr RTAP. بمجرد أن يرسل Dataminr RTAP بيانات تنبيه، يتم تشغيل تطبيق الوظائف ويجب أن تكون قادرا على رؤية بيانات التنبيهات من Dataminr Pulse إلى جدول مساحة عمل LogAnalytics المسمى "DataminrPulse_Alerts_CL".



Datawiza DAP

مدعوم من قبل:Datawiza Technology Inc.

توصيل سجلات Datawiza DAP ب Azure Log Analytics عبر واجهة REST API

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
datawizaserveraccess_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

الخطوة 1 : قراءة الوثائق التفصيلية

يتم توثيق عملية التثبيت بتفاصيل كبيرة في موقع الوثائق Microsoft Sentinel التكامل. يجب على المستخدم استشارة دعمنا (support@datawiza.com) لفهم تثبيت التكامل وتصحيحه.

الخطوة 2: تثبيت Datawiza Sentinel Connector

الخطوة التالية هي تثبيت معاد توجيه سجل Datawiza لإرسال السجلات إلى Microsoft Sentinel. سيعتمد التثبيت الدقيق على بيئتك، راجع تكامل Microsoft Sentinel للحصول على التفاصيل الكاملة.

الخطوة 3: اختبار استيعاب البيانات

بعد حوالي 20 دقيقة، قم بالوصول إلى مساحة عمل Log Analytics على تثبيت Microsoft Sentinel، وحدد موقع قسم السجلات المخصصة تحقق من وجود جدول datawizaserveraccess_CL. استخدم نماذج الاستعلامات لفحص البيانات.



Derdack SIGNL4

مدعوم من قبل:Derdack

عند فشل الأنظمة الحرجة أو حدوث حوادث أمنية، يقوم SIGNL4 ب جسر "الميل الأخير" بالموظفين والمهندسين ومسؤولين تكنولوجيا المعلومات والعاملين في الميدان. يضيف تنبيها للجوال في الوقت الحقيقي إلى خدماتك وأنظمتك وعملياتك في أي وقت من الأوقات. يقوم SIGNL4 بإعلامك من خلال الدفع المستمر للأجهزة المحمولة ونص SMS والمكالمات الصوتية مع الإقرار والتعقب والتصعيد. يضمن الواجب المتكامل وجدولة التحول تنبيه الأشخاص المناسبين في الوقت المناسب.

التعرف على المزيد >

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityIncident نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

ملاحظه: يتم تكوين موصل البيانات هذا بشكل أساسي على جانب SIGNL4. يمكنك العثور على فيديو وصف هنا: دمج SIGNL4 مع Microsoft Sentinel.

موصل SIGNL4: يوفر موصل SIGNL4 Microsoft Sentinel ومركز أمان Azure وموفري واجهة برمجة تطبيقات الأمان Azure Graph الآخرين تكاملا سلسا في الاتجاهين مع حلول أمان Azure. بمجرد إضافته إلى فريق SIGNL4 الخاص بك، سيقرأ الموصل تنبيهات الأمان من Azure Graph واجهة برمجة تطبيقات الأمان تلقائيا بالكامل ويشغل إعلامات التنبيه لأعضاء الفريق أثناء العمل. سيقوم أيضا بمزامنة حالة التنبيه من SIGNL4 إلى واجهة برمجة تطبيقات الأمان Graph، بحيث إذا تم الإقرار بالتنبيهات أو إغلاقها، يتم أيضا تحديث هذه الحالة على التنبيه Azure Graph واجهة برمجة تطبيقات الأمان أو موفر الأمان المقابل. كما ذكرنا، يستخدم الموصل بشكل أساسي واجهة برمجة تطبيقات الأمان Azure Graph، ولكن بالنسبة لبعض موفري الأمان، مثل Microsoft Sentinel، فإنه يستخدم أيضا واجهات برمجة تطبيقات REST مخصصة من حلول Azure.

ميزات Microsoft Sentinel

Microsoft Sentinel هو حل SIEM أصلي للسحابة من Microsoft وموفر تنبيه أمان في واجهة برمجة تطبيقات الأمان Graph Azure. ومع ذلك، فإن مستوى تفاصيل التنبيه المتوفرة مع واجهة برمجة تطبيقات الأمان Graph محدود Microsoft Sentinel. لذلك يمكن للموصل زيادة التنبيهات بمزيد من التفاصيل (نتائج البحث في قاعدة نتائج التحليلات)، من مساحة عمل Microsoft Sentinel Log Analytics الأساسية. لكي تتمكن من القيام بذلك، يتصل الموصل بواجهة برمجة تطبيقات REST Azure Log Analytics ويحتاج إلى أذونات وفقا (انظر أدناه). علاوة على ذلك، يمكن للتطبيق أيضا تحديث حالة Microsoft Sentinel الحوادث، عندما تكون جميع تنبيهات الأمان ذات الصلة قيد التقدم أو يتم حلها. لكي تتمكن من القيام بذلك، يجب أن يكون الموصل عضوا في مجموعة "المساهمون Microsoft Sentinel" في اشتراكك في Azure. النشر التلقائي في Azure يتم إنشاء بيانات الاعتماد المطلوبة للوصول إلى واجهات برمجة التطبيقات المذكورة مسبقا بواسطة برنامج نصي PowerShell صغير يمكنك تنزيله أدناه. ينفذ البرنامج النصي المهام التالية لك:

  • تسجيل دخولك إلى اشتراك Azure (يرجى تسجيل الدخول باستخدام حساب مسؤول)
  • إنشاء تطبيق مؤسسة جديد لهذا الموصل في Azure AD، يشار إليه أيضا باسم كيان الخدمة
  • إنشاء دور جديد في Azure IAM الذي يمنح إذن القراءة/الاستعلام لمساحات عمل Azure Log Analytics فقط.
  • ضم تطبيق المؤسسة إلى دور المستخدم هذا
  • ضم تطبيق المؤسسة إلى دور "المساهمون Microsoft Sentinel"
  • إخراج بعض البيانات التي تحتاجها لتكوين التطبيق (انظر أدناه)

إجراء التوزيع

  1. قم بتنزيل البرنامج النصي لتوزيع PowerShell من هنا.
  2. راجع البرنامج النصي والأدوار ونطاقات الأذونات التي ينشرها لتسجيل التطبيق الجديد. إذا كنت لا تريد استخدام الموصل مع Microsoft Sentinel، فيمكنك إزالة جميع التعليمات البرمجية لإنشاء الدور وتعيين الدور واستخدامه فقط لإنشاء تسجيل التطبيق (SPN) في Azure Active Directory.
  3. تشغيل البرنامج النصي. في النهاية، يقوم إخراج المعلومات التي تحتاج إلى إدخالها في تكوين تطبيق الموصل.
  4. في Azure AD، انقر فوق "تسجيلات التطبيقات". ابحث عن التطبيق باسم "SIGNL4AzureSecurity" وافتح تفاصيله
  5. في جزء القائمة الأيسر، انقر فوق "أذونات واجهة برمجة التطبيقات". ثم انقر فوق "إضافة إذن".
  6. على الجزء الذي يتم تحميله، ضمن "واجهات برمجة تطبيقات Microsoft" انقر على لوحة "Microsoft Graph"، ثم انقر فوق "إذن التطبيق".
  7. في الجدول المعروض، قم بتوسيع "SecurityEvents" وتحقق من "SecurityEvents.Read.All" و"SecurityEvents.ReadWrite.All".
  8. انقر فوق "إضافة أذونات".

تكوين تطبيق موصل SIGNL4

وأخيرا، أدخل المعرفات، التي أخرجها البرنامج النصي في تكوين الموصل:

  • معرف المستأجر Azure
  • معرف اشتراك Azure
  • معرف العميل (لتطبيق المؤسسة)
  • سر العميل (لتطبيق المؤسسة) بمجرد تمكين التطبيق، سيبدأ في قراءة تنبيهات Azure Graph واجهة برمجة تطبيقات الأمان.

ملاحظه: سيقرأ في البداية فقط التنبيهات التي حدثت خلال آخر 24 ساعة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>



ضوء بحث الظلال الرقمية (باستخدام وظائف Azure)

مدعوم من قبل:الظلال الرقمية

يوفر موصل بيانات الظلال الرقمية استيعابا للحوادث والتنبيهات من Digital Shadows Searchlight في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات REST. سيوفر الموصل معلومات الحوادث والتنبيهات بحيث يساعد على فحص المخاطر والتهديدات الأمنية المحتملة وتشخيصها وتحليلها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DigitalShadows_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب معرف حساب الظلال الرقمية والبيانات السرية والمفتاح . راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب "Digital Shadows Searchlight" لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات "البحث عن الظلال الرقمية"

يجب أن يوفر الموفر أو يرتبط بخطوات مفصلة لتكوين نقطة نهاية واجهة برمجة تطبيقات "البحث عن الظلال الرقمية" بحيث يمكن لدالة Azure المصادقة عليها بنجاح، والحصول على مفتاح التخويل أو الرمز المميز الخاص بها، وسحب سجلات الجهاز إلى Microsoft Sentinel.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل "البحث عن الظلال الرقمية"، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل واجهة برمجة تطبيقات "الظلال الرقمية" أو الرمز المميز، المتوفر بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل "البحث عن الظلال الرقمية".

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل واسم مستخدم واجهة برمجة التطبيقات وكلمة مرور واجهة برمجة التطبيقات و/أو الحقول المطلوبة الأخرى.

ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل "البحث عن الظلال الرقمية" يدويا باستخدام دالات Azure.

1. إنشاء تطبيق وظائف

  1. من مدخل Azure، انتقل إلى Function App.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics، تأكد من تعيين مكدس وقت التشغيل إلى python 3.8.
  4. في علامة التبويب Hosting، تأكد من تعيين نوع الخطة إلى "Consumption (Serverless)". 5.select Storage account
  5. "إضافة تكوينات مطلوبة أخرى".
  6. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

2. استيراد التعليمات البرمجية لتطبيق الوظائف (توزيع Zip)

  1. تثبيت Azure CLI
  2. من نوع terminal az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> واضغط على enter. ResourceGroup قم بتعيين القيمة إلى: اسم مجموعة الموارد. FunctionApp قم بتعيين القيمة إلى: اسم تطبيق الوظائف الذي تم إنشاؤه حديثا. Zip File قم بتعيين القيمة إلى: digitalshadowsConnector.zip(المسار إلى الملف المضغوط). ملاحظة:- قم بتنزيل الملف المضغوط من الارتباط - Function App Code

3. تكوين تطبيق الوظائف

  1. في شاشة Function App، انقر فوق Function App name وحدد Configuration.
  2. في علامة التبويب Application settings، حدد + New application setting.
  3. أضف كل من إعدادات التطبيق "x (عدد)" التالية بشكل فردي، ضمن Name، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف) ضمن Value: DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (اختياري) (إضافة أي إعدادات أخرى مطلوبة من قبل Function App) قم بتعيين DigitalShadowsURL القيمة إلى: تعيين HighVariabilityClassifications القيمة إلى: https://api.searchlight.app/v1exposed-credential,marked-document تعيين ClassificationFilterOperation القيمة إلى: exclude لاستبعاد تطبيق الوظائف أو include لتضمين تطبيق الوظائف

ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Azure Key Vault للحصول على مزيد من التفاصيل.

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة GovUS Azure، حدد القيمة بالتنسيق التالي: https://< CustomerId.ods.opinsights.azure.us>.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Dns

مدعوم من قبل:Microsoft Corporation

يسمح لك موصل سجل DNS بتوصيل سجلات DNS التحليلية وسجلات التدقيق بسهولة Microsoft Sentinel والبيانات الأخرى ذات الصلة، لتحسين التحقيق.

عند تمكين مجموعة سجل DNS، يمكنك:

  • تحديد العملاء الذين يحاولون حل أسماء المجالات الضارة.
  • تحديد سجلات الموارد القديمة.
  • تحديد أسماء المجالات التي يتم الاستعلام عنها بشكل متكرر وعملاء DNS الثرثارين.
  • عرض تحميل الطلب على خوادم DNS.
  • عرض فشل تسجيل DNS الديناميكي.

لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DnsEvents نعم نعم
DnsInventory نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Doppel Data Connector

مدعوم من قبل:Doppel

تم إنشاء موصل البيانات على Microsoft Sentinel لأحداث وتنبيهات Doppel ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل بيانات حدث الأمان المستلمة في أعمدة مخصصة بحيث لا تحتاج الاستعلامات إلى تحليلها مرة أخرى، مما يؤدي إلى أداء أفضل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DoppelTable_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra معرف المستأجر ومعرف العميل وسر العميل: يتطلب Microsoft Entra ID معرف العميل وسر العميل لمصادقة التطبيق الخاص بك. بالإضافة إلى ذلك، يلزم الوصول العالمي على مستوى مسؤول/المالك لتعيين دور ناشر مقاييس مراقبة مجموعة الموارد للتطبيق المسجل Entra.
  • يتطلب معرف مساحة العمل وDCE-URI وDCR-ID: ستحتاج إلى الحصول على معرف مساحة عمل Log Analytics وDCE Logs URI الاستيعاب ومعرف DCR غير القابل للتغيير للتكوين.

إرشادات الإعداد:

تكوين Doppel Webhook

قم بتكوين Webhook في Doppel ونقطة النهاية مع أذونات في Microsoft Sentinel لإرسال البيانات.

تسجيل التطبيق في Microsoft Entra ID

  1. افتح صفحة Microsoft Entra ID:

    • انقر فوق الارتباط المتوفر لفتح صفحة تسجيل Microsoft Entra ID في علامة تبويب جديدة.
    • تأكد من تسجيل الدخول باستخدام حساب لديه أذونات مستوى مسؤول.

  2. إنشاء تطبيق جديد:

    • في مدخل Microsoft Entra ID، حدد App registrations المذكورة في علامة التبويب الجانب الأيسر.
    • انقر فوق + تسجيل جديد.
    • املأ الحقول التالية:
  • الاسم: أدخل اسما للتطبيق (على سبيل المثال، "تطبيق Doppel").
  • أنواع الحسابات المدعومة: اختر الحسابات في هذا الدليل التنظيمي فقط (الدليل الافتراضي فقط - مستأجر واحد).
  • إعادة توجيه URI: اترك هذا فارغا ما لم يكن مطلوبا خلاف ذلك.
    • انقر فوق تسجيل لإنشاء التطبيق.

  1. نسخ معرفات التطبيق والمستأجر:

    • بمجرد تسجيل التطبيق، لاحظ معرف التطبيق (العميل) ومعرف الدليل (المستأجر) من صفحة نظرة عامة . ستحتاج إلى هذه للتكامل.

  2. إنشاء سر العميل:

    • في قسم Certificates & secrets، انقر فوق + New client secret.
    • أضف وصفا (على سبيل المثال، "Doppel Secret") وقم بتعيين انتهاء صلاحية (على سبيل المثال، سنة واحدة).
    • انقر فوق إضافة.
    • انسخ قيمة سر العميل على الفور، حيث لن يتم عرضها مرة أخرى.

تعيين دور "Monitoring Metrics Publisher" إلى التطبيق

  1. افتح مجموعة الموارد في مدخل Azure:

    • انتقل إلى مجموعة الموارد التي تحتوي على مساحة عمل Log Analytics وقواعد تجميع البيانات (DCRs) حيث تريد أن يدفع التطبيق البيانات.

  2. تعيين الدور:

    • في قائمة Resource Group، انقر فوق Access control (IAM) المذكورة في علامة التبويب الجانب الأيسر ..
    • انقر فوق + Add وحدد Add role assignment.
    • في القائمة المنسدلة Role، ابحث عن دور Monitoring Metrics Publisher وحدده .
    • ضمن تعيين الوصول إلى، اختر Azure AD المستخدم أو المجموعة أو كيان الخدمة.
    • في الحقل تحديد، ابحث عن التطبيق المسجل حسب الاسم أو معرف العميل.
    • انقر فوق حفظ لتعيين الدور للتطبيق.

نشر قالب ARM

  1. استرداد معرف مساحة العمل:

    • بعد تعيين الدور، ستحتاج إلى معرف مساحة العمل.
    • انتقل إلى مساحة عمل Log Analytics داخل مجموعة الموارد.
    • في قسم Overview، حدد موقع الحقل Workspace ID ضمن Workspace details.
    • انسخ معرف مساحة العمل واحتفظ به في متناول اليد للخطوات التالية.

  2. انقر فوق الزر Deploy to Azure:

    • portal.azure.com.
    • سينقلك هذا مباشرة إلى مدخل Azure لبدء التوزيع.

  3. مراجعة المعلمات وتخصيصها:

    • في صفحة التوزيع المخصص، تأكد من أنك تقوم بالتوزيع إلى الاشتراك الصحيح ومجموعة الموارد.
    • املأ المعلمات مثل اسم مساحة العمل ومعرف مساحة العمل وموقع مساحة العمل.

  4. انقر فوق مراجعة + إنشاء ثم إنشاء لنشر الموارد.

تحقق من إعداد جدول DCE وDCR وLog Analytics

  1. تحقق من نقطة نهاية تجميع البيانات (DCE):

    • بعد التوزيع، انتقل إلى مدخل Azure > Data Collection Endpoints.
    • تحقق من إنشاء نقطة نهاية DoppelDCE بنجاح.
    • انسخ عنوان URI لاستيعاب سجلات DCE، حيث ستحتاج إلى ذلك لإنشاء عنوان URL للإخطار على الويب.

  2. تأكيد إعداد قاعدة جمع البيانات (DCR):

    • انتقل إلى قواعد تجميع بيانات مدخل > Azure.
    • تأكد من وجود قاعدة DoppelDCR .
    • انسخ المعرف غير القابل للتغيير ل DCR من صفحة نظرة عامة، حيث ستحتاج إليه لعنون URL لخطاف الويب.

  3. التحقق من صحة جدول Log Analytics:

    • انتقل إلى مساحة عمل Log Analytics (المرتبطة Microsoft Sentinel).
    • ضمن قسم الجداول، تحقق من إنشاء جدول DoppelTable_CL بنجاح وأنه جاهز لتلقي البيانات.

دمج تنبيهات Doppel مع Microsoft Sentinel

  1. جمع المعلومات الضرورية:
    • اجمع التفاصيل التالية المطلوبة للتكامل:
  • معرف نقطة نهاية تجميع البيانات (DCE-ID)
  • معرف قاعدة جمع البيانات (DCR-ID)
  • بيانات اعتماد Microsoft Entra: معرف المستأجر ومعرف العميل وسر العميل.

  1. التنسيق مع دعم Doppel:

    • شارك بيانات اعتماد DCE-ID وDCR-ID التي تم جمعها Microsoft Entra مع دعم Doppel.
    • اطلب المساعدة لتكوين هذه التفاصيل في مستأجر Doppel لتمكين إعداد خطاف الويب.

  2. إعداد خطاف الويب بواسطة Doppel:

    • سيستخدم Doppel معرفات الموارد وبيانات الاعتماد المتوفرة لتكوين خطاف ويب.
    • سيسهل خطاف الويب هذا إعادة توجيه التنبيهات من Doppel إلى Microsoft Sentinel.

  3. تحقق من تسليم التنبيه في Microsoft Sentinel:

    • تحقق من إعادة توجيه التنبيهات من Doppel بنجاح إلى Microsoft Sentinel.
    • تحقق من تحديث المصنف في Microsoft Sentinel بإحصائيات التنبيه، ما يضمن تكامل البيانات السلس.



إشعارات Dragos عبر Cloud Sitestore

مدعوم من قبل:Dragos Inc

منصة Dragos هي منصة الأمان السيبراني الصناعية الرائدة التي تقدم اكتشافا شاملا للمخاطر الإلكترونية (OT) للتكنولوجيا التشغيلية تم إنشاؤها من خلال خبرة في الأمان عبر الإنترنت الصناعية لا مثيل لها. يتيح هذا الحل عرض بيانات إعلام منصة Dragos في Microsoft Sentinel بحيث يتمكن محللو الأمان من فرز أحداث الأمان الإلكتروني المحتملة التي تحدث في بيئاتهم الصناعية.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DragosAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الوصول إلى واجهة برمجة تطبيقات Dragos Sitestore: حساب مستخدم Sitestore لديه notification:read الإذن. يحتاج هذا الحساب أيضا إلى مفتاح API يمكن توفيره Sentinel.

إرشادات الإعداد:

يرجى توفير المعلومات التالية للسماح Microsoft Sentinel بالاتصال ب Dragos Sitestore.

  • Dragos Sitestore Hostname: (dragossitestore.example.com)
  • معرف مفتاح واجهة برمجة تطبيقات Dragos Sitestore: (أدخل معرف مفتاح API.)
  • Dragos Sitestore API Key Secret: (أدخل سر مفتاح API)
  • الحد الأدنى لخطورة الإعلام. القيم الصالحة شاملة من 0 إلى 5. تأكد من أقل من أو يساوي الحد الأقصى للخطورة.: (أدخل الحد الأدنى للخطورة (التوصية 0 لجميع الإعلامات))
  • الحد الأقصى لخطورة الإعلام. القيم الصالحة شاملة من 0 إلى 5. تأكد من أكبر من أو يساوي الحد الأدنى من الخطورة.: (أدخل الحد الأقصى للخطورة (التوصية 5 لجميع الإعلامات))
  • تمكين/تعطيل الاتصال



موصل أحداث Druva

مدعوم من قبل:Druva Inc

يوفر القدرة على استيعاب أحداث Druva من واجهات برمجة تطبيقات Druva

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DruvaSecurityEvents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Druva API Access: تتطلب واجهة برمجة تطبيقات Druva معرف العميل وسر العميل للمصادقة

إرشادات الإعداد:

ملاحظة: تكوينات للاتصال بواجهة برمجة تطبيقات Druva Rest

الخطوة 1: إنشاء بيانات اعتماد من وحدة تحكم Druva. راجع هذا المستند للاطلاع على الخطوات:- https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials

الخطوة 2: أدخل اسم المضيف. للسحابة العامة apis.druva.com

الخطوة 3: أدخل معرف العميل والمفتاح السري للعميل

اتصل بواجهة برمجة تطبيقات Druva لبدء جمع السجلات في Microsoft Sentinel

توفير القيم المطلوبة:

  • اسم المضيف: (مثال: apis.druva.com)



Dynamics 365 Finance والعمليات

مدعوم من قبل:Microsoft Corporation

Dynamics 365 للتمويل والعمليات هو حل شامل لتخطيط موارد المؤسسة (ERP) يجمع بين القدرات المالية والتشغيلية لمساعدة الشركات على إدارة عملياتها اليومية. يوفر مجموعة من الميزات التي تمكن الشركات من تبسيط مهام سير العمل وأتمتة المهام واكتساب رؤى حول الأداء التشغيلي.

يدمج موصل بيانات Dynamics 365 Finance والعمليات أنشطة مسؤول Dynamics 365 Finance والعمليات وسجلات التدقيق بالإضافة إلى سجلات عمليات عمل المستخدم وأنشطة التطبيق في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
FinanceOperationsActivity_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra تسجيل التطبيق: معرف عميل التطبيق والبيانات السرية المستخدمة للوصول إلى Dynamics 365 Finance والعمليات.

إرشادات الإعداد:

يتطلب الاتصال ب Finance and Operations تسجيل تطبيق Microsoft Entra (معرف العميل والبيانات السرية). ستحتاج أيضا إلى معرف المستأجر Microsoft Entra وعنوان URL لمؤسسة العمليات المالية.

لتمكين جمع البيانات، قم بإنشاء دور في Dynamics 365 Finance والعمليات بأذونات لعرض كيان سجل قاعدة البيانات. قم بتعيين هذا الدور لمستخدم Finance and Operations مخصص، تم تعيينه إلى معرف العميل لتسجيل تطبيق Microsoft Entra. اتبع هذه الخطوات لإكمال العملية:

الخطوة 1 - Microsoft Entra تسجيل التطبيق

  1. انتقل إلى مدخل Microsoft Entra.
  2. ضمن التطبيقات، انقر فوق تسجيلات التطبيقات وقم بإنشاء تسجيل تطبيق جديد (اترك جميع الإعدادات الافتراضية).
  3. افتح تسجيل التطبيق الجديد وأنشئ بيانات سرية جديدة.
  4. احتفظ بمعرف المستأجر ومعرف التطبيق (العميل) وسر العميل للاستخدام لاحقا.

الخطوة 2 - إنشاء دور لجمع البيانات في Finance and Operations

  1. في مدخل Finance and Operations، انتقل إلى Workspaces > System administration وانقر فوق Security Configuration
  2. ضمن الأدوار انقر فوق إنشاء جديد وامنح الدور الجديد اسما مثل عارض سجل قاعدة البيانات.
  3. حدد الدور الجديد في قائمة الأدوار وانقر فوق Privileges و من Add references.
  4. حدد Database log Entity View من قائمة الامتيازات.
  5. انقر فوق كائنات غير منشورة ثم انشر الكل لنشر الدور.

الخطوة 3 - إنشاء مستخدم لجمع البيانات في Finance and Operations

  1. في مدخل Finance and Operations، انتقل إلى > Modules System administration وانقر فوق Users
  2. إنشاء مستخدم جديد وتعيين الدور الذي تم إنشاؤه في الخطوة السابقة للمستخدم.

الخطوة 4 - تسجيل تطبيق Microsoft Entra في Finance and Operations

  1. في مدخل F&O، انتقل إلى إعداد > إدارة > النظام Microsoft Entra التطبيقات (Azure تطبيقات Active Directory)
  2. إنشاء إدخال جديد في الجدول. في حقل معرف العميل ، أدخل معرف التطبيق للتطبيق المسجل في الخطوة 1.
  3. في حقل الاسم ، أدخل اسما للتطبيق.
  4. في حقل معرف المستخدم ، حدد معرف المستخدم الذي تم إنشاؤه في الخطوة السابقة.

توصيل الأحداث من Dyanmics 365 Finance and Operations إلى Microsoft Sentinel

الاتصال باستخدام بيانات اعتماد العميل

المنظمات

يمثل كل صف اتصال Finance and Operations

  • شبكة موصلات البيانات (تكوين في المدخل)



Dynamics365

مدعوم من قبل:Microsoft Corporation

يوفر موصل أنشطة Dynamics 365 Common Data Service (CDS) نظرة ثاقبة حول أنشطة المسؤول والمستخدم والدعم، بالإضافة إلى أحداث تسجيل المشاركة الاجتماعية من Microsoft. من خلال توصيل Dynamics 365 سجلات CRM في Microsoft Sentinel، يمكنك عرض هذه البيانات في المصنفات، واستخدامها لإنشاء تنبيهات مخصصة، وتحسين عملية التحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Dynamics365Activity نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

هجمات Dynatrace V1

مدعوم من قبل:Dynatrace

يستخدم هذا الموصل واجهة برمجة تطبيقات REST لهجمات Dynatrace لاستيعاب الهجمات المكتشفة في Microsoft Sentinel Log Analytics

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DynatraceAttacks_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مستأجر Dynatrace (على سبيل المثال، xyz.dynatrace.com): تحتاج إلى مستأجر Dynatrace صالح مع تمكين أمان التطبيق ، تعرف على المزيد حول النظام الأساسي Dynatrace.
  • Dynatrace Access Token: تحتاج إلى رمز وصول Dynatrace، يجب أن يكون للرمز المميز نطاق هجمات القراءة (attacks.read).

إرشادات الإعداد:

أحداث هجوم Dynatrace إلى Microsoft Sentinel

تكوين وتمكين أمان تطبيق Dynatrace. اتبع هذه الإرشادات لإنشاء رمز مميز للوصول.



هجمات Dynatrace V2

مدعوم من قبل:Dynatrace

يستخدم هذا الموصل واجهة برمجة تطبيقات REST لهجمات Dynatrace لاستيعاب الهجمات المكتشفة في Microsoft Sentinel Log Analytics

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DynatraceAttacksV2_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مستأجر Dynatrace (على سبيل المثال، xyz.dynatrace.com): تحتاج إلى مستأجر Dynatrace صالح مع تمكين أمان التطبيق ، تعرف على المزيد حول النظام الأساسي Dynatrace.
  • Dynatrace Access Token: تحتاج إلى رمز وصول Dynatrace، يجب أن يكون للرمز المميز نطاق هجمات القراءة (attacks.read).

إرشادات الإعداد:

أحداث هجوم Dynatrace إلى Microsoft Sentinel

تكوين وتمكين أمان تطبيق Dynatrace. اتبع هذه الإرشادات لإنشاء رمز مميز للوصول.

  • مستأجر Dynatrace (على سبيل xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Dynatrace Access Token: ({{dynatraceAccessToken}})
  • تمكين/تعطيل الاتصال



Dynatrace Audit Logs V1

مدعوم من قبل:Dynatrace

يستخدم هذا الموصل واجهة برمجة تطبيقات REST لسجلات تدقيق Dynatrace لاستيعاب سجلات تدقيق المستأجر في Microsoft Sentinel Log Analytics

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DynatraceAuditLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • مستأجر Dynatrace (على سبيل المثال، xyz.dynatrace.com): تحتاج إلى مستأجر Dynatrace صالح، لمعرفة المزيد حول نظام Dynatrace الأساسي بدء الإصدار التجريبي المجاني.
  • Dynatrace Access Token: تحتاج إلى رمز وصول Dynatrace، يجب أن يكون للرمز المميز نطاق قراءة سجلات التدقيق (auditLogs.read).

إرشادات الإعداد:

أحداث سجل تدقيق Dynatrace إلى Microsoft Sentinel

تمكين تسجيل تدقيق Dynatrace. اتبع هذه الإرشادات لإنشاء رمز مميز للوصول.



Dynatrace Audit Logs V2

مدعوم من قبل:Dynatrace

يستخدم هذا الموصل واجهة برمجة تطبيقات REST لسجلات تدقيق Dynatrace لاستيعاب سجلات تدقيق المستأجر في Microsoft Sentinel Log Analytics

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DynatraceAuditLogsV2_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مستأجر Dynatrace (على سبيل المثال، xyz.dynatrace.com): تحتاج إلى مستأجر Dynatrace صالح، لمعرفة المزيد حول نظام Dynatrace الأساسي بدء الإصدار التجريبي المجاني.
  • Dynatrace Access Token: تحتاج إلى رمز وصول Dynatrace، يجب أن يكون للرمز المميز نطاق قراءة سجلات التدقيق (auditLogs.read).

إرشادات الإعداد:

أحداث سجل تدقيق Dynatrace إلى Microsoft Sentinel

تمكين تسجيل تدقيق Dynatrace. اتبع هذه الإرشادات لإنشاء رمز مميز للوصول.

  • مستأجر Dynatrace (على سبيل xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Dynatrace Access Token: ({{dynatraceAccessToken}})
  • تمكين/تعطيل الاتصال



مشاكل Dynatrace V1

مدعوم من قبل:Dynatrace

يستخدم هذا الموصل واجهة برمجة تطبيقات REST لمشكلة Dynatrace لاستيعاب أحداث المشكلة في Microsoft Sentinel Log Analytics

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DynatraceProblems_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مستأجر Dynatrace (على سبيل المثال، xyz.dynatrace.com): تحتاج إلى مستأجر Dynatrace صالح، لمعرفة المزيد حول نظام Dynatrace الأساسي بدء الإصدار التجريبي المجاني.
  • Dynatrace Access Token: تحتاج إلى رمز وصول Dynatrace، يجب أن يحتوي الرمز المميز على نطاق مشاكل القراءة (problems.read).

إرشادات الإعداد:

أحداث مشكلة Dynatrace إلى Microsoft Sentinel

اتبع هذه الإرشادات لإنشاء رمز مميز للوصول.



مشاكل Dynatrace V2

مدعوم من قبل:Dynatrace

يستخدم هذا الموصل واجهة برمجة تطبيقات REST لمشكلة Dynatrace لاستيعاب أحداث المشكلة في Microsoft Sentinel Log Analytics

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DynatraceProblemsV2_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مستأجر Dynatrace (على سبيل المثال، xyz.dynatrace.com): تحتاج إلى مستأجر Dynatrace صالح، لمعرفة المزيد حول نظام Dynatrace الأساسي بدء الإصدار التجريبي المجاني.
  • Dynatrace Access Token: تحتاج إلى رمز وصول Dynatrace، يجب أن يحتوي الرمز المميز على نطاق مشاكل القراءة (problems.read).

إرشادات الإعداد:

أحداث مشكلة Dynatrace إلى Microsoft Sentinel

اتبع هذه الإرشادات لإنشاء رمز مميز للوصول.

  • مستأجر Dynatrace (على سبيل xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Dynatrace Access Token: ({{dynatraceAccessToken}})
  • تمكين/تعطيل الاتصال



ثغرات وقت تشغيل Dynatrace V1

مدعوم من قبل:Dynatrace

يستخدم هذا الموصل واجهة برمجة تطبيقات REST لمشكلة أمان Dynatrace لاستيعاب الثغرات الأمنية المكتشفة في وقت التشغيل في Microsoft Sentinel Log Analytics.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DynatraceSecurityProblems_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مستأجر Dynatrace (على سبيل المثال، xyz.dynatrace.com): تحتاج إلى مستأجر Dynatrace صالح مع تمكين أمان التطبيق ، تعرف على المزيد حول النظام الأساسي Dynatrace.
  • Dynatrace Access Token: تحتاج إلى رمز وصول Dynatrace المميز، يجب أن يحتوي الرمز المميز على نطاق أمان القراءة (securityProblems.read).

إرشادات الإعداد:

أحداث ثغرات Dynatrace على Microsoft Sentinel

تكوين وتمكين أمان تطبيق Dynatrace. اتبع هذه الإرشادات لإنشاء رمز مميز للوصول.



ثغرات وقت تشغيل Dynatrace V2

مدعوم من قبل:Dynatrace

يستخدم هذا الموصل واجهة برمجة تطبيقات REST لمشكلة أمان Dynatrace لاستيعاب الثغرات الأمنية المكتشفة في وقت التشغيل في Microsoft Sentinel Log Analytics.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DynatraceSecurityProblemsV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • مستأجر Dynatrace (على سبيل المثال، xyz.dynatrace.com): تحتاج إلى مستأجر Dynatrace صالح مع تمكين أمان التطبيق ، تعرف على المزيد حول النظام الأساسي Dynatrace.
  • Dynatrace Access Token: تحتاج إلى رمز وصول Dynatrace المميز، يجب أن يحتوي الرمز المميز على نطاق أمان القراءة (securityProblems.read).

إرشادات الإعداد:

أحداث ثغرات Dynatrace على Microsoft Sentinel

تكوين وتمكين أمان تطبيق Dynatrace. اتبع هذه الإرشادات لإنشاء رمز مميز للوصول.

  • مستأجر Dynatrace (على سبيل xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Dynatrace Access Token: ({{dynatraceAccessToken}})
  • تمكين/تعطيل الاتصال



عامل مرن

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Elastic Agent القدرة على استيعاب سجلات العامل المرن والمقاييس وبيانات الأمان في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ElasticAgentEvent لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • تضمين المتطلبات المسبقة المخصصة إذا كان الاتصال يتطلب - وإلا حذف الجمارك: وصف لأي شرط مسبق مخصص

إرشادات الإعداد:

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى دالة Kusto للعمل كما هو متوقع ElasticAgentEvent الذي يتم توزيعه مع Microsoft Sentinel Solution.

ملاحظة: تم تطوير موصل البيانات هذا باستخدام Elastic Agent 7.14.

1. تثبيت وكيل Linux أو Windows وإلحاقه

قم بتثبيت العامل على الخادم حيث تتم إعادة توجيه سجلات Elastic Agent.

يتم جمع السجلات من Elastic Agents المنشورة على خوادم Linux أو Windows بواسطة Linux أو وكلاء Windows.

اختر مكان تثبيت عامل Linux:

تثبيت العامل على الجهاز الظاهري Azure Linux

حدد الجهاز لتثبيت العامل عليه ثم انقر فوق اتصال.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

تثبيت عامل على جهاز غير Azure Linux

قم بتنزيل العامل على الجهاز ذي الصلة واتبع الإرشادات.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

اختر مكان تثبيت عامل Windows:

تثبيت العامل على Azure جهاز Windows الظاهري

حدد الجهاز لتثبيت العامل عليه ثم انقر فوق اتصال.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

تثبيت عامل على جهاز Windows غير Azure

قم بتنزيل العامل على الجهاز ذي الصلة واتبع الإرشادات.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

2. تكوين عامل مرن (مستقل)

اتبع الإرشادات لتكوين Elastic Agent للإخراج إلى Logstash

3. تكوين Logstash لاستخدام المكون الإضافي لإخراج Microsoft Logstash

اتبع الخطوات لتكوين Logstash لاستخدام المكون الإضافي microsoft-logstash-output-azure-loganalytics:

3.1) تحقق مما إذا كان المكون الإضافي مثبتا بالفعل: ./logstash-plugin list | grep 'azure-loganalytics' (إذا تم تثبيت المكون الإضافي، فانتقل إلى الخطوة 3.3)

3.2) تثبيت المكون الإضافي: ./logstash-plugin تثبيت microsoft-logstash-output-azure-loganalytics

3.3) تكوين Logstash لاستخدام المكون الإضافي

4. التحقق من صحة استيعاب السجل

اتبع الإرشادات للتحقق من صحة الاتصال:

افتح Log Analytics للتحقق مما إذا كانت السجلات مستلمة باستخدام جدول مخصص محدد في الخطوة 3.3 (على سبيل المثال، ElasticAgentLogs_CL).

قد يستغرق الأمر حوالي 30 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.



عامل مرن (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يمكنك موصل بيانات Elastic Agent من استيعاب مقاييس النظام والسجلات وبيانات تتبع الاستخدام التي جمعها Elastic Agent من Elasticsearch في Microsoft Sentinel. يستخدم هذا الموصل واجهة برمجة تطبيقات Elasticsearch Search مع مصادقة مفتاح واجهة برمجة التطبيقات للاستعلام عن تدفقات بيانات متعددة (وحدة المعالجة المركزية والذاكرة والعملية ونظام الملفات والشبكة والتحميل ووقت التشغيل ومقاييس العامل والسجلات). وهو يدعم تحويلات وقت الاستيعاب المستندة إلى DCR لتنفيذ الاستعلام بكفاءة. لمزيد من المعلومات، راجع وثائق واجهة برمجة التطبيقات: https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ElasticAgentLogsV2_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

1. المتطلبات الأساسية

تأكد من أن لديك الوصول والتكوين المطلوبين.

المتطلبات الأساسية

  • توزيع Elasticsearch (مدار ذاتيا أو Elastic Cloud)
  • تم توزيع Elastic Agent مع تمكين تكامل النظام
  • تمكين مراقبة العامل للسجلات والمقاييس
  • مفتاح Elasticsearch API مع أذونات القراءة على جميع المؤشرات
  • اتصال الشبكة من Microsoft Sentinel إلى نقطة نهاية Elasticsearch

المؤشرات المطلوبة

يستعلم الموصل عن مؤشرات Elasticsearch التالية:

المقاييس:

  • metrics-system.cpu-* - مقاييس وحدة المعالجة المركزية
  • metrics-system.memory-* - مقاييس الذاكرة
  • metrics-system.process-* - مقاييس العملية
  • metrics-system.filesystem-* - مقاييس نظام الملفات
  • metrics-system.network-* - مقاييس الشبكة
  • metrics-system.load-*- تحميل النظام (Linux فقط)
  • metrics-system.uptime-* - وقت تشغيل النظام
  • metrics-elastic_agent.* - بيانات تتبع الاستخدام للعامل

سجلات:

  • logs-elastic_agent-* - سجلات العامل

2. تكوين اتصالات Elasticsearch

أضف اتصالا واحدا أو أكثر من اتصالات Elasticsearch لجمع البيانات منها.

اتصالات Elasticsearch

يمكنك إضافة اتصالات متعددة لجمع البيانات من عمليات توزيع Elasticsearch مختلفة. يتطلب كل اتصال عنوان URL Elasticsearch الخاص به ومفتاح API.

إنشاء مفتاح API

  1. في Kibana، انتقل إلى Stack Management > API Keys
  2. انقر فوق إنشاء مفتاح API
  3. تعيين اسم وتكوين الأذونات:
    • قراءة الوصول إلى metrics-system.*
    • قراءة الوصول إلى metrics-elastic_agent.*
    • قراءة الوصول إلى logs-elastic_agent-*
  4. نسخ قيمة مفتاح واجهة برمجة التطبيقات المرمزة ب Base64
  • شبكة موصلات البيانات (تكوين في المدخل)



أحداث أمان مستعرض Ermes

مدعوم من قبل:Ermes Cyber Security S.p.A.

أحداث أمان مستعرض Ermes

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ErmesBrowserSecurityEvents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • معرف عميل Ermes وسر العميل: تمكين الوصول إلى واجهة برمجة التطبيقات في Ermes. يرجى الاتصال بدعم Ermes Cyber Security للحصول على مزيد من المعلومات.

إرشادات الإعداد:

توصيل أحداث أمان مستعرض Ermes ب Microsoft Sentinel

الاتصال باستخدام بيانات اعتماد OAuth2



ESET Protect Platform (باستخدام وظائف Azure)

مدعوم من قبل:ESET Enterprise Integrations

يمكن موصل بيانات ESET Protect Platform المستخدمين من إدخال بيانات الكشف من ESET Protect Platform باستخدام واجهة برمجة تطبيقات REST للتكامل المتوفرة. يتم تشغيل واجهة برمجة تطبيقات REST للتكامل كما هو مجدول Azure Function App.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
IntegrationTable_CL نعم نعم
IntegrationTableIncidents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • إذن تسجيل تطبيق في Microsoft Entra ID: مطلوب أذونات كافية لتسجيل تطبيق مع مستأجر Microsoft Entra.
  • إذن لتعيين دور للتطبيق المسجل: مطلوب إذن لتعيين دور Monitoring Metrics Publisher للتطبيق المسجل في Microsoft Entra ID.

إرشادات الإعداد:

ملاحظه: يستخدم موصل بيانات ESET Protect Platform دالات Azure للاتصال بالنظام الأساسي لحماية ESET عبر واجهة برمجة تطبيقات Eset Connect لسحب سجلات الكشف إلى Microsoft Sentinel. قد تؤدي هذه العملية إلى تكاليف إضافية لاستيعاب البيانات. راجع التفاصيل في صفحة تسعير دالات Azure.

ملاحظه: يسحب أحدث إصدار من ESET PROTECT Platform والتكامل Microsoft Sentinel ليس فقط سجلات الكشف ولكن أيضا الحوادث التي تم إنشاؤها حديثا. إذا تم إعداد التكامل قبل 20.06.2025، فالرجاء اتباع هذه الخطوات لتحديثه.

الخطوة 1 - إنشاء مستخدم API

استخدم هذه التعليمات لإنشاء حساب مستخدم ESET Connect API باستخدام تسجيل الدخول وكلمة المرور.

الخطوة 2 - إنشاء تطبيق مسجل

أنشئ تطبيقا مسجلا Microsoft Entra ID باتباع الخطوات الواردة في تعليمات تسجيل تطبيق جديد.

الخطوة 3 - نشر موصل بيانات ESET Protect Platform باستخدام قالب Azure Resource Manager (ARM)

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد اسم مساحة عمل Log Analytics المقترنة Microsoft Sentinel. حدد نفس مجموعة الموارد مثل مجموعة الموارد لمساحة عمل Log Analytics.

  3. اكتب معلمات التطبيق المسجل في Microsoft Entra ID: Azure معرف العميل، Azure سر العميل، Azure معرف المستأجر، معرف العنصر. يمكنك العثور على معرف الكائن على مدخل Azure باتباع هذا المسار Microsoft Entra ID -> إدارة (في القائمة اليمنى) -> تطبيقات المؤسسة -> عمود معرف العنصر (القيمة بجوار اسم التطبيق المسجل).

  4. قم بتوفير حساب مستخدم ESET Connect API تسجيل الدخول وكلمة المرور التي تم الحصول عليها في الخطوة 1.

  5. حدد منتجا واحدا أو أكثر من منتجات ESET (ESET PROTECT، وESET Inspect، وESET Cloud Office Security) التي يتم استرداد الاكتشافات منها.



Exchange Security Insights On-Premises Collector

مدعوم من قبل:المجتمع

الموصل المستخدم لدفع تكوين Exchange On-Premises Security لتحليل Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ESIExchangeConfig_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • حساب الخدمة مع دور إدارة المؤسسة: يجب أن يكون حساب الخدمة الذي يقوم بتشغيل البرنامج النصي كمهمة مجدولة إدارة المؤسسة لتتمكن من استرداد جميع معلومات الأمان المطلوبة.
  • الوثائق التفصيلية: >ملاحظة: يمكن العثور على وثائق مفصلة حول إجراء التثبيت والاستخدام هنا

إرشادات الإعداد:

1. تثبيت البرنامج النصي ESI Collector على خادم مع Exchange مسؤول وحدة تحكم PowerShell

هذا هو البرنامج النصي الذي سيجمع Exchange Information لدفع المحتوى في Microsoft Sentinel.

توزيع البرنامج النصي

تنزيل أحدث إصدار من ESI Collector

يمكن العثور على أحدث إصدار هنا : https://aka.ms/ESI-ExchangeCollector-Script. الملف المراد تنزيله CollectExchSecIns.zip

نسخ مجلد البرنامج النصي

قم بفك ضغط المحتوى وانسخ مجلد البرنامج النصي على خادم حيث توجد Exchange PowerShell Cmdlets.

إلغاء حظر البرامج النصية PS1

انقر بزر الماوس الأيمن فوق كل برنامج نصي PS1 وانتقل إلى علامة التبويب خصائص. إذا تم وضع علامة على البرنامج النصي على أنه محظور، فإلغاء حظره. يمكنك أيضا استخدام Cmdlet 'Unblock-File . في المجلد الذي تم فك ضغطه باستخدام PowerShell.

**تكوين الوصول إلى الشبكة **

تأكد من أن البرنامج النصي يمكنه الاتصال ب Azure Analytics (*.ods.opinsights.azure.com).

2. تكوين البرنامج النصي ESI Collector

تأكد من أن يكون المسؤول المحلي للخادم. في وضع "تشغيل كمسؤول"، قم بتشغيل البرنامج النصي "setup.ps1" لتكوين المجمع. املأ معلومات مساحة عمل Log Analytics (Microsoft Sentinel). املأ اسم البيئة أو اتركه فارغا. بشكل افتراضي، اختر "Def" كتحليل افتراضي. الخيارات الأخرى هي للاستخدام المحدد.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

3. جدولة البرنامج النصي ESI Collector (إذا لم يتم ذلك بواسطة تثبيت البرنامج النصي بسبب عدم وجود إذن أو تجاهل أثناء التثبيت)

يجب جدولة البرنامج النصي لإرسال تكوين Exchange إلى Microsoft Sentinel. نوصي بجدولة البرنامج النصي مرة واحدة في اليوم. يجب أن يكون الحساب المستخدم لتشغيل البرنامج النصي عضوا في مجموعة إدارة المؤسسة

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. يتم توزيع المحللات تلقائيا مع الحل. اتبع الخطوات لإنشاء الاسم المستعار لوظائف Kusto : ExchangeAdminAuditLogs

يتم توزيع المحللات تلقائيا أثناء نشر الحل. إذا كنت تريد التوزيع يدويا، فاتبع الخطوات أدناه

توزيع المحلل اليدوي

1. تنزيل ملف المحلل

أحدث إصدار من ملف ExchangeAdminAuditLogs

2. إنشاء دالة Parser ExchangeAdminAuditLogs

في مستكشف "السجلات" لتحليلات سجل Microsoft Sentinel، انسخ محتوى الملف إلى مستكشف السجل

3. حفظ دالة Parser ExchangeAdminAuditLogs

انقر فوق زر الحفظ. لا توجد معلمة مطلوبة لهذا المحلل. انقر فوق حفظ مرة أخرى.



Exchange Security Insights Online Collector (باستخدام وظائف Azure)

مدعوم من قبل:المجتمع

الموصل المستخدم لدفع تكوين أمان Exchange Online لتحليل Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ESIExchangeOnlineConfig_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • أذونات microsoft.automation/automationaccounts: مطلوب أذونات القراءة والكتابة لإنشاء أتمتة Azure باستخدام دفتر التشغيل. لمزيد من المعلومات، راجع حساب التنفيذ التلقائي.
  • أذونات Microsoft.Graph: أذونات Groups.Read و Users.Read و Auditing.Read مطلوبة لاسترداد معلومات المستخدم/المجموعة المرتبطة بتعيينات Exchange Online. راجع الوثائق لمعرفة المزيد.
  • Exchange Online الأذونات: مطلوب إذن Exchange.ManageAsApp ودور القارئ العام أو قارئ الأمان لاسترداد تكوين أمان Exchange Online.راجع الوثائق لمعرفة المزيد.
  • (اختياري) أذونات تخزين السجل: Storage Blob Data Contributor إلى حساب تخزين مرتبط بالهوية المدارة لحساب التنفيذ التلقائي أو معرف التطبيق إلزامي لتخزين السجلات. راجع الوثائق لمعرفة المزيد.

إرشادات الإعداد:

ملاحظة - تحديث

ملاحظه:

ملاحظة - تحديث:

نوصي بتحديث Collector إلى الإصدار 7.6.0.0 أو أعلى. يمكن العثور على إجراء Collector Script Update هنا : ESI Online Collector Update

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. اتبع الخطوات لكل محلل لإنشاء الاسم المستعار لوظائف Kusto: ExchangeConfiguration و **ExchangeEnvironmentList STEP 1 - توزيع المحللات**

توزيع المحلل (عند استخدام حل أمان Microsoft Exchange، يتم نشر المحللات تلقائيا)

1. تنزيل ملفات المحلل

أحدث إصدار من ملفين ExchangeConfiguration.yamlوExchangeEnvironmentList.yaml

2. إنشاء دالة ExchangeConfiguration للموزع

في مستكشف "السجلات" لتحليلات سجل Microsoft Sentinel، انسخ محتوى الملف إلى مستكشف السجل

3. حفظ دالة ExchangeConfiguration للموزع

انقر فوق زر الحفظ. حدد المعلمات كما هو مسأل على رأس ملف المحلل. انقر فوق حفظ مرة أخرى.

4. إعادة إنتاج نفس الخطوات للمحلل ExchangeEnvironmentList

إعادة إنتاج الخطوة 2 و3 مع محتوى ملف "ExchangeEnvironmentList.yaml"

ملاحظه: يستخدم هذا الموصل التنفيذ التلقائي في Azure للاتصال ب "Exchange Online" لسحب تحليل الأمان الخاص به إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير التنفيذ التلقائي في Azure للحصول على التفاصيل.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل وأتمتة Azure المقترنة

الهامه: قبل توزيع موصل "تكوين الأمان Exchange Online ESI"، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي)، بالإضافة إلى اسم المستأجر Exchange Online (contoso.onmicrosoft.com)، المتوفر بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل "تكوين الأمان Exchange Online ESI".

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل واسم المستأجر و/أو الحقول المطلوبة الأخرى.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل "تكوين الأمان Exchange Online ESI" يدويا باستخدام التنفيذ التلقائي في Azure.

A. إنشاء حساب التنفيذ التلقائي Azure

  1. من مدخل Azure، انتقل إلى حساب التنفيذ التلقائي Azure.
  2. انقر فوق + إضافة في الأعلى.
  3. في علامة التبويب Basics، املأ الحقول المطلوبة وامنح اسما التنفيذ التلقائي في Azure.
  4. في علامات التبويب خيارات متقدمة والشبكات والعلامات ، اترك الحقول كإعداد افتراضي إذا لم تكن بحاجة إلى تخصيصها.
  5. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

ب. إضافة وحدة إدارة Exchange Online، وحدات Microsoft Graph (المصادقة والمستخدم والمجموعة)

  1. في صفحة حساب التنفيذ التلقائي، حدد Modules.
  2. انقر فوق استعراض المعرض وابحث في الوحدة النمطية ExchangeOnlineManagement .
  3. حدده وانقر فوق تحديد.
  4. اختر الإصدار 5.1 في حقل إصدار وقت التشغيل وانقر فوق الزر استيراد. كرر الخطوة للوحدات النمطية التالية: "Microsoft.Graph.Authentication" و"Microsoft.Graph.Users" و"Microsoft.Graph.Groups". الانتباه، تحتاج إلى انتظار تثبيت Microsoft.Graph.Authentication قبل معالجة الوحدات النمطية التالية

ج. تنزيل محتوى دفتر التشغيل

  1. قم بتنزيل أحدث إصدار من ESI Collector. يمكن العثور على أحدث إصدار هنا : https://aka.ms/ESI-ExchangeCollector-Script
  2. قم بإلغاء ضغط الملف للعثور على ملف JSON وملف PS1 للخطوة التالية.

د. إنشاء دفتر تشغيل

  1. في صفحة حساب التنفيذ التلقائي، حدد الزر Runbooks .
  2. انقر فوق إنشاء دفتر تشغيل وقم بتسمية مثل "ESI-Collector" باستخدام نوع دفتر التشغيل PowerShell، إصدار وقت التشغيل 5.1 وانقر فوق "إنشاء".
  3. استيراد محتوى ملف PS1 للخطوة السابقة في نافذة Runbook.
  4. انقر فوق Publish

ه. إنشاء متغير تكوين عمومي

  1. في صفحة حساب التنفيذ التلقائي، حدد الزر المتغيرات .
  2. انقر فوق Add a Variable وقم بتسمية exaclty 'GlobalConfiguration' بنوع String.
  3. في حقل "القيمة"، انسخ محتوى ملف JSON للخطوة السابقة.
  4. داخل المحتوى، استبدل قيم WorkspaceID و WorkspaceKey.
  5. انقر فوق الزر "إنشاء".

و. إنشاء TenantName Variable

  1. في صفحة حساب التنفيذ التلقائي، حدد الزر المتغيرات .
  2. انقر فوق Add a Variable وقم بتسمية exaclty 'TenantName' بنوع String.
  3. في حقل "القيمة"، اكتب اسم المستأجر Exchange Online.
  4. انقر فوق الزر "إنشاء".

ز. إنشاء متغير LastDateTracking

  1. في صفحة حساب التنفيذ التلقائي، حدد الزر المتغيرات .
  2. انقر فوق Add a Variable وقم بتسمية exaclty 'LastDateTracking' بنوع String.
  3. في حقل "القيمة"، اكتب "أبدا".
  4. انقر فوق الزر "إنشاء".

ح. إنشاء جدول دفتر تشغيل

  1. في صفحة حساب التنفيذ التلقائي، حدد الزر Runbook وانقر على دفتر التشغيل الذي تم إنشاؤه.
  2. انقر فوق جداول وإضافة زر جدول زمني.
  3. انقر فوق جدول، وأضف جدولا وقم بتسمية الجدول. حدد القيمة المتكررة مع تكرار كل يوم واحد، وانقر فوق "إنشاء".
  4. انقر فوق "تكوين المعلمات وتشغيل الإعدادات". اترك الكل فارغا وانقر فوق موافق وموافق مرة أخرى.

الخطوة 3 - تعيين إذن Microsoft Graph وإذن Exchange Online لحساب الهوية المدارة

لكي يتمكن من جمع معلومات Exchange Online والقدرة على استرداد معلومات المستخدم وقائمة أعضاء مجموعات المسؤولين، يحتاج حساب التنفيذ التلقائي إلى إذن متعدد.

تعيين الأذونات حسب البرنامج النصي

A. تنزيل البرنامج النصي للأذونات

البرنامج النصي لتحديث الأذونات

ب. استرداد المعرف الفريد العمومي للهوية المدارة لأتمتة Azure وإدراجه في البرنامج النصي الذي تم تنزيله

  1. انتقل إلى حساب التنفيذ التلقائي، في قسم الهوية . يمكنك العثور على Guid للهوية المدارة.
  2. استبدل GUID في $MI_ID = "XXXXXXXXXXXXX" ب GUID للهوية المدارة.

ج. تشغيل البرنامج النصي باستخدام حساب Global-Administrator

انتبه إلى أن هذا البرنامج النصي يتطلب وحدات MSGraph النمطية مسؤول الموافقة على الوصول إلى المستأجر الخاص بك باستخدام Microsoft Graph. سيضيف البرنامج النصي 3 أذونات إلى الهوية المدارة: 1. Exchange Online إذن ManageAsApp 2. User.Read.All على Microsoft Graph API 3. Group.Read.All على Microsoft Graph API

د. تعيين دور Exchange Online

  1. كمسؤول عام، انتقل إلى الأدوار والمسؤولين.
  2. حدد دور القارئ العمومي أو قارئ الأمان وانقر فوق "إضافة تعيينات".
  3. انقر فوق "لم يتم تحديد أي عضو" وابحث في اسم حساب الهوية المدارة بدءا من اسم حساب التشغيل التلقائي الخاص بك مثل "ESI-Collector". حدده وانقر فوق "تحديد".
  4. انقر فوق التالي وتحقق من صحة التعيين بالنقر فوق تعيين.



موصل بيانات اكتشافات ExtraHop

مدعوم من قبل:دعم ExtraHop

يمكنك موصل بيانات اكتشافات ExtraHop من استيراد بيانات الكشف من ExtraHop RevealX إلى Microsoft Sentinel من خلال حمولات خطاف الويب. يتم استيعاب البيانات باستخدام Azure Monitor Log Ingestion API عبر قاعدة تجميع البيانات (DCR).

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ExtraHop_Detections_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في Microsoft Entra ID وإنشاء نقطة نهاية تجميع البيانات وقاعدة جمع البيانات وتعيين الأدوار المطلوبة.
  • Microsoft Entra تسجيل التطبيق: مطلوب تسجيل تطبيق Microsoft Entra ID (كيان الخدمة) مع سر العميل. يجب توفير معرف الكائن للتطبيق حتى يتمكن التوزيع من تعيين الدور الضروري لنشر السجلات عبر واجهة برمجة تطبيقات استيعاب السجل.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • أذونات ExtraHop RevealX: ما يلي مطلوب على نظام ExtraHop RevealX الخاص بك:
  1. يجب أن يقوم نظام RevealX بتشغيل إصدار البرنامج الثابت 9.9.2 أو أحدث.
  2. يجب توصيل نظام RevealX الخاص بك بخدمات ExtraHop السحابية.
  3. يجب أن يكون لحساب المستخدم الخاص بك امتيازات إدارة النظام على امتيازات RevealX 360 أو Full Write على RevealX Enterprise.

إرشادات الإعداد:

ملاحظة: يستخدم هذا الموصل دالات Azure لتلقي حمولات الإخطار على الويب ExtraHop واستيعابها في Microsoft Sentinel باستخدام Azure Monitor Log Ingestion API (الاستيعاب المستند إلى DCR). يحل هذا محل واجهة برمجة تطبيقات Log Analytics HTTP Data Collector القديمة. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين بيانات اعتماد واجهة برمجة التطبيقات بأمان في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظة: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم توزيعه كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار ExtraHopDetections وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.

تكوين:

الخطوة 1 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك (على سبيل المثال، ExtraHopSentinelConnector).
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ ExtraHop Data Connector.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 2 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ ExtraHop Data Connector. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ ExtraHop Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 3 - الحصول على معرف العنصر للتطبيق الخاص بك في Microsoft Entra ID

بعد إنشاء تسجيل التطبيق، اتبع الخطوات الواردة في هذا القسم للحصول على معرف العنصر:

  1. انتقل إلى Microsoft Entra ID.
  2. حدد Enterprise applications من القائمة اليسرى.
  3. ابحث عن التطبيق الذي تم إنشاؤه حديثا في القائمة (يمكنك البحث حسب الاسم الذي قدمته).
  4. انقر على التطبيق.
  5. في صفحة النظرة العامة، انسخ معرف الكائن. هذا هو AzureEntraObjectID المطلوب لتعيين دور قالب ARM.

الخطوة 4 - نشر موصل بيانات ExtraHop

الهامه: قبل نشر موصل ExtraHop Data، امتلك تفاصيل تسجيل التطبيق Microsoft Entra ID (معرف العميل وسر العميل ومعرف المستأجر ومعرف الكائن) متاحة بسهولة.

نشر موصل بيانات اكتشافات ExtraHop:

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات اكتشافات ExtraHop.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

  3. أدخل المعلومات أدناه:

    أ. FunctionName - أدخل اسم تطبيق الوظائف (يستخدم لتسمية جميع الموارد ذات الصلة). يجب أن يكون من 1 إلى 11 حرفا. الافتراضي: ExtraHop

    ب. الموقع - الموقع الذي يجب نشر قواعد جمع البيانات ونقاط نهاية جمع البيانات فيه

    ج. WorkspaceName - أدخل اسم مساحة عمل Microsoft Sentinel لمساحة عمل Log Analytics

    د. AzureClientId - أدخل Azure معرف العميل الذي قمت بإنشائه أثناء تسجيل التطبيق

    ه. AzureClientSecret - أدخل Azure سر العميل الذي قمت بإنشائه أثناء إنشاء سر العميل

    و. AzureEntraObjectID - أدخل معرف العنصر لتطبيق Microsoft Entra

    ز. TenantId - أدخل معرف المستأجر Microsoft Entra ID

    ح. DetectionsTableName - أدخل اسم الجدول المستخدم لتخزين سجلات اكتشافات ExtraHop. الافتراضي هو "ExtraHop_Detections"

    i. LogLevel - حدد مستوى السجل أو قيمة خطورة السجل من تتبع الأخطاء والمعلومات والخطأ والتحذير. بشكل افتراضي، يتم تعيينه إلى "معلومات"

    ي. AppInsightsWorkspaceResourceID - ترحيل Application Insights الكلاسيكي إلى مساحة عمل Log Analytic التي ستتوقف بحلول 29 فبراير 2024. استخدم شفرة "Log Analytic Workspace-->Properties" التي تحتوي على قيمة خاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخطوة 5 - ما بعد التوزيع

بعد التوزيع الناجح، قم بتكوين اتصال خطاف الويب من ExtraHop RevealX إلى Microsoft Sentinel.

1) الحصول على نقطة نهاية تطبيق الوظائف

  1. انتقل إلى صفحة نظرة عامة على الدالة Azure وانقر فوق علامة التبويب Functions.
  2. انقر فوق الدالة المسماة ExtraHopHttpStarter.
  3. انتقل إلى Get Function URL وانسخ عنوان URL للدالة المتوفر ضمن الافتراضي (Function key).
  4. استبدل {functionname} ب ExtraHopDetectionsOrchestrator في عنوان URL للدالة المنسخة.

2) تكوين اتصال Microsoft Sentinel وتحديد معايير حمولة خطاف الويب من RevealX

من نظام ExtraHop الخاص بك، قم بتكوين تكامل Microsoft Sentinel لإنشاء اتصال بين Microsoft Sentinel وEx extraHop RevealX وإنشاء قواعد إعلام الكشف التي سترسل بيانات خطاف الويب إلى Microsoft Sentinel. للحصول على إرشادات مفصلة، راجع دمج ExtraHop RevealX مع Microsoft Sentinel SIEM.

بعد تكوين قواعد الإعلام وتلقي Microsoft Sentinel بيانات خطاف الويب، يتم تشغيل Function App ويمكنك عرض اكتشافات ExtraHop من الجدول المخصص لمساحة عمل Log Analytics. استخدم دالة محلل ExtraHopDetections لعرض تمت تسويته للبيانات.



F5 BIG-IP

مدعوم من قبل:F5 Networks

يسمح لك موصل جدار حماية F5 بتوصيل سجلات F5 بسهولة Microsoft Sentinel، وعرض لوحات المعلومات، وإنشاء تنبيهات مخصصة، وتحسين التحقيق. يمنحك هذا المزيد من التفاصيل حول شبكة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
F5Telemetry_LTM_CL لا لا
F5Telemetry_system_CL نعم نعم
F5Telemetry_ASM_CL لا لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

تكوين F5 BIGIP وتوصيمه

لتوصيل F5 BIGIP الخاص بك، يجب عليك نشر إعلان JSON إلى نقطة نهاية واجهة برمجة التطبيقات للنظام. للحصول على إرشادات حول كيفية القيام بذلك، راجع دمج F5 BGIP مع Microsoft Sentinel.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



Feedly IoC

مدعوم من قبل:Feedly Inc

يوفر موصل بيانات Feedly IoC القدرة على استيعاب مؤشرات التسوية (IoCs) من واجهة برمجة تطبيقات Feedly إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
feedly_indicators_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • الوصول إلى واجهة برمجة التطبيقات الموجزة: مطلوب الوصول إلى واجهة برمجة تطبيقات Feedly. تحتاج إلى رمز مميز لواجهة برمجة تطبيقات Feedly مع الوصول إلى تدفقات IoC التي تريد استيعابها. إنشاء رمز واجهة برمجة التطبيقات الخاص بك على https://feedly.com/i/team/api

إرشادات الإعداد:

اتصل ب Feedly لبدء جمع IoCs في Microsoft Sentinel

  1. انتقل إلى https://feedly.com/i/team/api وقم بإنشاء رمز مميز جديد لواجهة برمجة التطبيقات للموصل.
  2. في Sentinel، في صفحة الموصل - قم بتوفير مفتاح واجهة برمجة تطبيقات Feedly ومعرفات Stream. ثم انقر فوق "الاتصال".
  • مفتاح واجهة برمجة تطبيقات Feedly: (أدخل الرمز المميز لواجهة برمجة تطبيقات Feedly)
  • معرفات Stream الموجزة: (streamId1,streamId2,streamId3)
  • تمكين/تعطيل الاتصال



موصل دفع متوهج

مدعوم من قبل:مضيئة

يوفر موصل التوهج القدرة على استيعاب التحليل الذكي للمخاطر وبيانات التعرض من التوهج إلى Microsoft Sentinel. يحدد "التوهج" الأصول الرقمية لشركتك التي تم توفيرها للجمهور بسبب خطأ بشري أو هجمات ضارة، بما في ذلك بيانات الاعتماد المسربة، ومستودعات السحابة المكشوفة، وإشارات darkweb، والمزيد.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
FireworkV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR).
  • التوهج: إذن لتكوين تكامل Microsoft Sentinel في التوهج.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يمكن هذا الموصل الشعلة من إرسال بيانات التعرض للمخاطر إلى Microsoft Sentinel. عند تمكين إعادة توجيه البيانات في التوهج، يتم إرسال بيانات الحدث الأولية بأمان إلى واجهة برمجة تطبيقات Microsoft Sentinel الاستيعاب.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة تجميع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. تكوين التوهج لإرسال السجلات إلى Microsoft Sentinel

استخدم المعلمات التالية لتكوين التوهج لإرسال السجلات إلى مساحة العمل الخاصة بك.

  • معرف تطبيق Entra (العميل):< قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف دليل Entra (المستأجر):< قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • عنوان URL لاستيعاب السجل: <قيمة متغيرة متوفرة في وقت التثبيت>

3. تكوين قناة التنبيه في التوهج

بصفتك مسؤول مؤسسة، يمكنك تكوين قناة تنبيه في التوهج لإرسال البيانات إلى Sentinel.

  1. المصادقة على الشعلة
  2. الوصول إلى صفحة التنبيهات لإنشاء قناة تنبيه جديدة.
  3. حدد "Microsoft Sentinel" وانسخ الحقول أعلاه في النموذج.

لمزيد من التفاصيل، راجع وثائق التوهج.



Forcepoint DLP

مدعوم من قبل:المجتمع

يسمح لك موصل Forcepoint DLP (منع فقدان البيانات) بتصدير بيانات حادث DLP تلقائيا من Forcepoint DLP إلى Microsoft Sentinel في الوقت الفعلي. وهذا يثري الرؤية في أنشطة المستخدم وحوادث فقدان البيانات، ويتيح المزيد من الارتباط بالبيانات من أحمال العمل Azure والموجزات الأخرى، ويحسن إمكانية المراقبة باستخدام المصنفات داخل Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ForcepointDLPEvents_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

اتبع الإرشادات خطوة بخطوة في وثائق Forcepoint DLP Microsoft Sentinel لتكوين هذا الموصل.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



Forescout

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Forescout القدرة على استيعاب أحداث Forescout في Microsoft Sentinel. راجع وثائق Forescout لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ForescoutEvent لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى دالة Kusto للعمل كما هو متوقع ForescoutEvent الذي يتم توزيعه باستخدام Microsoft Sentinel Solution.

ملاحظه: تم تطوير موصل البيانات هذا باستخدام إصدار Forescout Syslog Plugin: v3.6

1. تثبيت وكيل Linux أو Windows وإلحاقه

قم بتثبيت العامل على الخادم حيث تتم إعادة توجيه سجلات Forescout.

يتم جمع السجلات من Forescout Server المنشورة على خوادم Linux أو Windows بواسطة Linux أو وكلاء Windows.

اختر مكان تثبيت عامل Linux:

تثبيت العامل على الجهاز الظاهري Azure Linux

حدد الجهاز لتثبيت العامل عليه ثم انقر فوق اتصال.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

تثبيت عامل على جهاز غير Azure Linux

قم بتنزيل العامل على الجهاز ذي الصلة واتبع الإرشادات.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

اختر مكان تثبيت عامل Windows:

تثبيت العامل على Azure جهاز Windows الظاهري

حدد الجهاز لتثبيت العامل عليه ثم انقر فوق اتصال.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

تثبيت عامل على جهاز Windows غير Azure

قم بتنزيل العامل على الجهاز ذي الصلة واتبع الإرشادات.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

2. تكوين السجلات التي سيتم جمعها

قم بتكوين المرافق التي تريد جمعها وشدتها.

  1. ضمن إعدادات مساحة العمل المتقدمة التكوين، حدد البيانات ثم Syslog.
  2. حدد تطبيق التكوين أدناه على أجهزتي وحدد المرافق والخطورة.
  3. انقر فوق حفظ.
  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

3. تكوين إعادة توجيه حدث Forescout

اتبع خطوات التكوين أدناه للحصول على سجلات Forescout في Microsoft Sentinel.

  1. حدد جهازا لتكوينه.
  2. اتبع هذه الإرشادات لإعادة توجيه التنبيهات من النظام الأساسي Forescout إلى خادم syslog.
  3. تكوين الإعدادات في علامة التبويب مشغلات Syslog.



مراقبة خصائص مضيف Forescout

مدعوم من قبل:Microsoft Corporation

يسمح لك موصل Forescout Host Property Monitor بتوصيل خصائص المضيف من النظام الأساسي Forescout مع Microsoft Sentinel، لعرض وإنشاء حوادث مخصصة وتحسين التحقيق. يمنحك هذا مزيدا من التفاصيل حول شبكة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ForescoutHostProperties_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • متطلبات Forescout Plugin: يرجى التأكد من تشغيل Forescout Microsoft Sentinel المكون الإضافي على النظام الأساسي Forescout

إرشادات الإعداد:

يتم توفير إرشادات حول كيفية تكوين المكون الإضافي Forescout Microsoft Sentinel في Forescout Documentation Portal (https://docs.forescout.com/bundle/sentinel-1-0-h)

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



Fortinet FortiNDR Cloud

مدعوم من قبل:Fortinet

يوفر موصل بيانات Fortinet FortiNDR Cloud القدرة على استيعاب بيانات Fortinet FortiNDR Cloud في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات سحابة FortiNDR

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
FncEventsSuricata_CL لا لا
FncEventsObservation_CL لا لا
FncEventsDetections_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد MetaStream: مطلوب معرف مفتاح الوصول AWSومفتاح الوصول السري ل AWSورمز حساب سحابة FortiNDR لاسترداد بيانات الحدث.
  • بيانات اعتماد واجهة برمجة التطبيقات: الرمز المميز لواجهة برمجة تطبيقات سحابة FortiNDR، مطلوب UUID لحساب سحابة FortiNDR لاسترداد بيانات الكشف.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات FortiNDR Cloud لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظة: يستخدم هذا الموصل محلل يستند إلى وظيفة Kusto لتطبيع الحقول. اتبع هذه الخطوات لإنشاء الاسم المستعار لدالة Kusto Fortinet_FortiNDR_Cloud.

الخطوة 1 - خطوات التكوين لمجموعة سجلات السحابة Fortinet FortiNDR

يجب أن يوفر الموفر أو يرتبط بخطوات مفصلة لتكوين نقطة نهاية واجهة برمجة التطبيقات "اسم تطبيق اسم الموفر" بحيث يمكن لوظيفة Azure المصادقة عليها بنجاح، والحصول على مفتاح التخويل أو الرمز المميز الخاص به، وسحب سجلات الجهاز إلى Microsoft Sentinel.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل Fortinet FortiNDR Cloud، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى بيانات اعتماد FortiNDR Cloud API (المتوفرة في إدارة حساب FortiNDR Cloud)، متاحة بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل Fortinet FortiNDR Cloud.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع (تأكد من استخدام نفس الموقع مثل مجموعة الموارد الخاصة بك، وحصلت على الموقع يدعم Flex Consumption.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل و/أو AwsAccessKeyId و/أو AwsSecretAccessKey و/أو الحقول المطلوبة الأخرى.

  4. انقر فوق إنشاء للنشر.



Fortra Agari Data Connector (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يسمح موصل بيانات Fortra Agari بدمج السجلات من واجهات برمجة تطبيقات Fortra Agari في Microsoft Sentinel. يتكامل هذا الموصل مع منتجات Agari Brand Protection (BP) والدفاع عن التصيد الاحتيالي (APD) واستجابة التصيد الاحتيالي (APR). وهو يدعم تحويلات وقت الاستيعاب المستندة إلى DCR لتنفيذ الاستعلام بكفاءة. راجع وثائق واجهة برمجة تطبيقات Agari لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AgariBPAlertsLog_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات Agari

اتبع الإرشادات أدناه للحصول على بيانات اعتماد واجهة برمجة تطبيقات Agari.

  1. استرجع تسجيل الدخول إلى API URL إلى وحدة تحكم Agari وانتقل إلى قسم API. عنوان URL الافتراضي لواجهة برمجة التطبيقات هو https://api.agari.com

  2. استرداد بيانات اعتماد العميل احصل على معرف العميل وسر العميل من قسم بيانات اعتماد واجهة برمجة التطبيقات في حساب Agari الخاص بك. لاحظ أن منتجات Agari المختلفة (الحماية من العلامة التجارية، دفاع التصيد الاحتيالي، استجابة التصيد الاحتيالي) قد تتطلب بيانات اعتماد منفصلة لواجهة برمجة التطبيقات.

  3. حدد تدفقات البيانات اختر تدفقات بيانات Agari التي تريد جمعها. يمكنك تحديد تدفق واحد أو أكثر استنادا إلى اشتراكك ومتطلباتك.

  • عنوان URL لواجهة برمجة التطبيقات الأساسية: (https://api.agari.com)
  • معرف العميل: (معرف العميل الخاص بك)
  • سر العميل: (سر العميل الخاص بك)
  • تمكين/تعطيل الاتصال



سجلات Garrison ULTRA البعيدة (باستخدام وظائف Azure)

مدعوم من قبل:Garrison

يتيح لك موصل السجلات البعيدة ل Garrison ULTRA استيعاب سجلات Garrison ULTRA البعيدة في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Garrison_ULTRARemoteLogs_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Garrison ULTRA: لاستخدام موصل البيانات هذا، يجب أن يكون لديك ترخيص Garrison ULTRA نشط.

إرشادات الإعداد:

التوزيع - قالب Azure Resource Manager (ARM)

توضح هذه الخطوات التوزيع التلقائي لموصل بيانات Garrison ULTRA Remote Logs باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    portal.azure.com

  2. توفير التفاصيل المطلوبة مثل مجموعة الموارد ومساحة عمل Microsoft Sentinel وتكوينات الاستيعاب

ملاحظه: يوصى بإنشاء مجموعة موارد جديدة لتوزيع هذه الموارد. 3. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 4. انقر فوق شراء للنشر.



GCP Cloud Run (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات GCP Cloud Run القدرة على استيعاب سجلات طلب Cloud Run في Microsoft Sentinel باستخدام Pub/Sub. راجع نظرة عامة على تشغيل السحابة لمزيد من التفاصيل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPCloudRun نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

**توصيل GCP Cloud Run إلى Microsoft Sentinel **

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتمكين سجلات Cloud Run في Google Cloud Console، وقم بتمكين تسجيل السحابة إذا لم يتم تمكينه مسبقا، واحفظ التغييرات. نشر خدمات Cloud Run أو تحديثها مع تمكين التسجيل.

ارتباط مرجعي: ارتباط إلى الوثائق

  1. قم بتوصيل مجمعات جديدة لتمكين GCP Cloud Run Request Logs for Microsoft Sentinel، انقر فوق الزر Add new collector، وقم بتوفير المعلومات المطلوبة في النافذة المنبثقة وانقر على Connect.



GCP Cloud SQL (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات GCP Cloud SQL القدرة على استيعاب سجلات التدقيق في Microsoft Sentinel باستخدام GCP Cloud SQL API. راجع وثائق سجلات تدقيق SQL السحابية GCP للحصول على مزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPCloudSQL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل GCP Cloud SQL Microsoft Sentinel

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>

  1. في Google Cloud Console، قم بتمكين Cloud SQL API، إذا لم يتم تمكينه مسبقا، واحفظ التغييرات.

  2. قم بتوصيل مجمعات جديدة لتمكين GCP Cloud SQL Logs for Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.



سجلات تدقيق GCP Pub/Sub

مدعوم من قبل:Microsoft Corporation

تمكنك سجلات تدقيق Google Cloud Platform (GCP)، التي تم استيعابها من موصل Microsoft Sentinel، من التقاط ثلاثة أنواع من سجلات التدقيق: سجلات نشاط المسؤول وسجلات الوصول إلى البيانات وسجلات شفافية الوصول. تسجل سجلات تدقيق السحابة من Google سجلا يمكن للممارسين استخدامه لمراقبة الوصول واكتشاف التهديدات المحتملة عبر موارد Google Cloud Platform (GCP).

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPAuditLogs نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتوصيل مجمعات جديدة لتمكين سجلات تدقيق GCP Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.



سجلات GCP Pub/Sub Load Balancer (عبر Codeless Connector Framework).

مدعوم من قبل:Microsoft Corporation

توفر سجلات موازن التحميل في Google Cloud Platform (GCP) رؤى مفصلة حول نسبة استخدام الشبكة، مع التقاط الأنشطة الواردة والصادرة. تستخدم هذه السجلات لمراقبة أنماط الوصول وتحديد التهديدات الأمنية المحتملة عبر موارد GCP. بالإضافة إلى ذلك، تتضمن هذه السجلات أيضا سجلات جدار حماية تطبيق ويب GCP (WAF)، ما يعزز القدرة على اكتشاف المخاطر والتخفيف منها بفعالية.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPLoadBalancerLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. تمكين سجلات Load Balancer في حساب GCP الخاص بك، انتقل إلى قسم Load Balancer. هنا يمكنك الانتقال إلى [خدمة الواجهة الخلفية] -> [تحرير]، بمجرد أن تكون في [خدمة الواجهة الخلفية] في قسم [التسجيل] قم بتمكين خانة الاختيار من [تمكين السجلات]. بمجرد فتح القاعدة، قم بتبديل زر التبديل ضمن قسم السجلات إلى تشغيل، واحفظ التغييرات.

لمزيد من المعلومات: ارتباط إلى الوثائق

  1. قم بتوصيل مجمعات جديدة لتمكين سجلات GCP Load Balancer ل Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.



سجلات تدفق GCP Pub/Sub VPC (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

تمكنك سجلات تدفق Google Cloud Platform (GCP) VPC من تسجيل نشاط نسبة استخدام الشبكة على مستوى VPC، مما يسمح لك بمراقبة أنماط الوصول وتحليل أداء الشبكة واكتشاف التهديدات المحتملة عبر موارد GCP.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPVPCFlow نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. تمكين سجلات تدفق VPC في حساب GCP الخاص بك، انتقل إلى قسم شبكة VPC. حدد الشبكة الفرعية التي تريد مراقبتها وتمكين سجلات التدفق ضمن قسم التسجيل.

لمزيد من المعلومات: وثائق Google Cloud

  1. قم بتوصيل مجمعات جديدة لتمكين سجلات تدفق GCP VPC Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق، وانقر فوق Connect.



موصل Gigamon AMX

مدعوم من قبل:Gigamon

يوفر موصل Gigamon القدرة على قراءة بيانات الأحداث الأولية من Gigamon في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GigamonV2_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR). يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يقرأ هذا الموصل البيانات من الجداول التي يستخدمها Gigamon CCF في مساحة عمل Microsoft Analytics، إذا تم تمكين خيار إعادة توجيه البيانات في Gigamon CCF، فسيتم إرسال بيانات الحدث الخام إلى واجهة برمجة تطبيقات Microsoft Sentinel الاستيعاب.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. دفع سجلاتك إلى مساحة العمل

استخدم المعلمات التالية لتكوين جهازك لإرسال السجلات إلى مساحة العمل.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • اسم Stream النشاط: <قيمة متغيرة متوفرة في وقت التثبيت>
  • اسم Stream التهديد: <قيمة متغيرة متوفرة في وقت التثبيت>



GitHub (باستخدام خطافات الويب)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات خطاف الويب GitHub القدرة على استيعاب الأحداث المشتركة في GitHub في Microsoft Sentinel باستخدام أحداث خطاف الويب GitHub. يوفر الموصل القدرة على إدخال الأحداث في Microsoft Sentinel مما يساعد على فحص المخاطر الأمنية المحتملة وتحليل استخدام فريقك للتعاون وتشخيص مشكلات التكوين والمزيد.

ملاحظه: إذا كنت تنوي استيعاب سجلات تدقيق Github، فالرجاء الرجوع إلى GitHub Enterprise Audit Log Connector من معرض "موصلات البيانات".

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
githubscanaudit_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.

إرشادات الإعداد:

ملاحظه: تم إنشاء هذا الموصل على مشغل http استنادا إلى Azure Function. ويوفر نقطة نهاية سيتم توصيل github بها من خلال إمكانية الإخطار على الويب وينشر الأحداث المشتركة في Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل Github Webhook، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات GitHub باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows و Linux في نفس المنطقة ونشرها. 3. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات خطاف الويب GitHub يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Configuration.
  3. في علامة التبويب Application settings، حدد New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): WorkspaceID WorkspaceKey logAnalyticsUri (اختياري) - استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

خطوات ما بعد النشر

الخطوة 1 - للحصول على عنوان url لدالة Azure

  1. انتقل إلى صفحة نظرة عامة على الدالة Azure وانقر فوق "Functions" في الجزء الأيسر.
  2. انقر على الدالة المسماة "GithubwebhookConnector".
  3. انتقل إلى "GetFunctionurl" وانسخ عنوان url للدالة.

الخطوة 2 - تكوين Webhook إلى مؤسسة Github

  1. انتقل إلى GitHub وافتح حسابك وانقر على "مؤسستك".
  2. انقر فوق الإعدادات.
  3. انقر فوق "Webhooks" وأدخل عنوان URL لتطبيق الوظائف الذي تم نسخه من الخطوة 1 أعلاه ضمن مربع نص عنوان URL للحمولة.
  4. اختر نوع المحتوى ك "application/json".
  5. اشترك في الأحداث وانقر فوق "إضافة إخطار على الويب"

الآن انتهينا من تكوين github Webhook. بمجرد تشغيل أحداث github وبعد تأخير من 20 إلى 30 دقيقة (حيث سيكون هناك صفقة لتحليلات السجل لتدوين الموارد لأول مرة)، يجب أن تكون قادرا على رؤية جميع أحداث المعاملات من Github إلى جدول مساحة عمل LogAnalytics المسمى "githubscanaudit_CL".

لمزيد من التفاصيل، انقر هنا



سجل تدقيق المؤسسة GitHub (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل سجل تدقيق GitHub القدرة على استيعاب سجلات GitHub في Microsoft Sentinel. من خلال توصيل سجلات تدقيق GitHub في Microsoft Sentinel، يمكنك عرض هذه البيانات في المصنفات، واستخدامها لإنشاء تنبيهات مخصصة، وتحسين عملية التحقيق.

ملاحظه: إذا كنت تنوي استيعاب الأحداث المشتركة في GitHub في Microsoft Sentinel، فيرجى الرجوع إلى موصل GitHub (باستخدام Webhooks) من معرض "موصلات البيانات".

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GitHubAuditLogsV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • رمز الوصول الشخصي لواجهة برمجة تطبيقات GitHub: لتمكين التحقق من سجل تدقيق المؤسسة، تأكد من أن المستخدم المصادق عليه هو مسؤول المؤسسة ولديه رمز مميز للوصول الشخصي GitHub (كلاسيكي) مع read:audit_log النطاق.
  • نوع GitHub Enterprise: سيعمل هذا الموصل فقط مع GitHub Enterprise Cloud؛ لن يدعم GitHub Enterprise Server.

إرشادات الإعداد:

توصيل سجل التدقيق على مستوى المؤسسة GitHub ب Microsoft Sentinel

تمكين سجلات تدقيق GitHub. اتبع هذا الدليل لإنشاء رمز الوصول الشخصي أو العثور عليه.

  • شبكة موصلات البيانات (تكوين في المدخل)



Google ApigeeX (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Google ApigeeX القدرة على استيعاب سجلات التدقيق في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Google Apigee. راجع وثائق واجهة برمجة تطبيقات Google Apigee لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPApigee نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

**توصيل Google ApigeeX Microsoft Sentinel **

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>

  1. قم بتمكين سجلات ApigeeX في وحدة تحكم Google Cloud، وقم بتمكين Apigee API، إذا لم يتم تمكينها مسبقا، واحفظ التغييرات.

  2. قم بتوصيل مجمعات جديدة لتمكين سجلات ApigeeX Microsoft Sentinel، انقر فوق الزر Add new collector، وقم بتوفير المعلومات المطلوبة في النافذة المنبثقة وانقر على Connect.



Google Cloud Platform CDN (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Google Cloud Platform CDN القدرة على استيعاب سجلات تدقيق شبكة تسليم المحتوى السحابية وسجلات حركة مرور شبكة تسليم المحتوى السحابية في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات محرك الحوسبة. راجع مستند نظرة عامة على المنتج لمزيد من التفاصيل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPCDN نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

**توصيل GCP CDN Microsoft Sentinel **

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتمكين سجلات CDN في Google Cloud Console، وقم بتمكين تسجيل السحابة إذا لم يتم تمكينه مسبقا، واحفظ التغييرات. انتقل إلى قسم Cloud CDN وانقر على Add origin لإنشاء الخلفيات وفقا للارتباط المتوفر أدناه.

ارتباط مرجعي: ارتباط إلى الوثائق

  1. قم بتوصيل مجمعات جديدة لتمكين سجلات GCP Cloud CDN ل Microsoft Sentinel، انقر فوق الزر Add new collector، وقم بتوفير المعلومات المطلوبة في النافذة المنبثقة وانقر على Connect.



معرفات سحابة Google Cloud Platform (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Google Cloud Platform IDS القدرة على استيعاب سجلات نسبة استخدام الشبكة لمعرف السحابة وسجلات التهديدات وسجلات التدقيق في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات معرفات السحابة من Google. راجع وثائق واجهة برمجة تطبيقات معرفات السحابة لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPIDS نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

**توصيل معرفات سحابة GCP Microsoft Sentinel **

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. تمكين سجلات IDS في وحدة تحكم Google Cloud، قم بتمكين واجهة برمجة تطبيقات معرفات السحابة، إذا لم يتم تمكينها مسبقا. إنشاء نقطة نهاية IDS وحفظ التغييرات.

لمزيد من المعلومات حول كيفية إنشاء نقطة نهاية IDS وتكوينها: ارتباط إلى الوثائق

  1. قم بتوصيل مجمعات جديدة لتمكين سجلات GCP IDS Microsoft Sentinel، انقر فوق الزر Add new collector، وقم بتوفير المعلومات المطلوبة في النافذة المنبثقة وانقر فوق Connect.



Google Cloud Platform Cloud Monitoring (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يدمج موصل بيانات Google Cloud Platform Cloud Monitoring سجلات المراقبة من Google Cloud في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات مراقبة Google Cloud. راجع وثائق واجهة برمجة تطبيقات مراقبة السحابة لمزيد من التفاصيل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPMonitoring نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل Google Cloud Platform Cloud Monitoring ب Microsoft Sentinel

  1. إعداد تكامل مراقبة GCP لجلب السجلات من GCP Cloud Monitoring إلى Sentinel مطلوب معرف المشروع الخاص بسحابة Google.

  2. اختر نوع المقياس لتجميع السجلات من Google Cloud Monitoring توفير نوع القياس المطلوب.

لمزيد من التفاصيل، راجع مقاييس Google Cloud.

  1. تشير بيانات اعتماد OAuth لإحضار معرف عميل Oauth وسر العميل إلى هذه الوثائق.

  2. اتصل ب Sentinel انقر فوق الاتصال لبدء سحب سجلات المراقبة من Google Cloud إلى Microsoft Sentinel.

  • معرف مشروع GCP:
  • نوع المقياس:
  • شبكة موصلات البيانات (تكوين في المدخل)



Google Cloud Platform Compute Engine (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Google Cloud Platform Compute Engine القدرة على استيعاب سجلات تدقيق محرك الحساب في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Google Cloud Compute Engine. راجع وثائق Cloud Compute Engine API لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPComputeEngine نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

**توصيل محرك حساب GCP Microsoft Sentinel **

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>

  1. قم بتمكين سجلات Compute Engine في وحدة تحكم Google Cloud، وقم بتمكين واجهة برمجة تطبيقات Compute Engine، إذا لم يتم تمكينها مسبقا، واحفظ التغييرات.

  2. قم بتوصيل مجمعين جدد لتمكين سجلات محرك الحوسبة Microsoft Sentinel، انقر فوق الزر Add new collector، وقم بتوفير المعلومات المطلوبة في النافذة المنبثقة وانقر فوق Connect.



Google Cloud Platform DNS (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Google Cloud Platform DNS القدرة على استيعاب سجلات استعلام Cloud DNS وسجلات تدقيق Cloud DNS في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Google Cloud DNS. راجع وثائق واجهة برمجة تطبيقات DNS السحابية لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPDNS نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

**توصيل GCP DNS Microsoft Sentinel **

ملاحظه: إذا كان كل من Azure Function وموصل CCF يعملان في وقت واحد، يتم ملء البيانات المكررة في الجداول.

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. تمكين سجلات DNS في وحدة تحكم Google Cloud، انتقل إلى قسم Cloud DNS. قم بتمكين تسجيل السحابة إذا لم يتم تمكينه مسبقا، واحفظ التغييرات. هنا، يمكنك إدارة المناطق الموجودة، أو إنشاء منطقة جديدة وإنشاء نهج للمنطقة التي تريد مراقبتها.

لمزيد من المعلومات: ارتباط إلى الوثائق

  1. قم بتوصيل مجمعات جديدة لتمكين سجلات GCP DNS Microsoft Sentinel، انقر فوق الزر Add new collector، وقم بتوفير المعلومات المطلوبة في النافذة المنبثقة وانقر فوق Connect.



Google Cloud Platform IAM (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Google Cloud Platform IAM القدرة على استيعاب سجلات التدقيق المتعلقة بأنشطة إدارة الهوية والوصول (IAM) داخل Google Cloud في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Google IAM. راجع وثائق واجهة برمجة تطبيقات GCP IAM لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPIAM نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل GCP IAM Microsoft Sentinel

ملاحظه: إذا كان كل من Azure Function وموصل CCF يعملان بالتوازي، يتم ملء البيانات المكررة في الجداول.

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. لتمكين سجلات IAM في حساب GCP الخاص بك، انتقل إلى قسم IAM. من هناك، يمكنك إما إنشاء مستخدم جديد أو تعديل دور مستخدم موجود تريد مراقبته. تأكد من حفظ التغييرات.

لمزيد من المعلومات: ارتباط إلى الوثائق

  1. قم بتوصيل مجمعات جديدة لتمكين سجلات GCPIAM Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.



Google Cloud Platform NAT (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Google Cloud Platform NAT القدرة على استيعاب سجلات تدقيق Cloud NAT وسجلات حركة مرور Cloud NAT في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات محرك الحوسبة. راجع مستند نظرة عامة على المنتج لمزيد من التفاصيل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPNATAudit نعم نعم
GCPNAT نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

**توصيل GCP NAT Microsoft Sentinel **

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتمكين سجلات NAT في Google Cloud Console، وقم بتمكين تسجيل السحابة إذا لم يتم تمكينه مسبقا، واحفظ التغييرات. انتقل إلى قسم Cloud NAT وانقر على Add origin لإنشاء الخلفيات وفقا للارتباط المقدم أدناه.

ارتباط مرجعي: ارتباط إلى الوثائق

  1. قم بتوصيل مجمعات جديدة لتمكين سجلات GCP Cloud NAT ل Microsoft Sentinel، انقر فوق الزر Add new collector، وقم بتوفير المعلومات المطلوبة في النافذة المنبثقة وانقر على Connect.



google Cloud Platform Resource Manager (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات google Cloud Platform Resource Manager القدرة على استيعاب Resource Manager مسؤول النشاط وسجلات تدقيق الوصول إلى البيانات في Microsoft Sentinel باستخدام Cloud Resource Manager API. راجع مستند نظرة عامة على المنتج لمزيد من التفاصيل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GCPResourceManager نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

**توصيل Resource Manager GCP Microsoft Sentinel **

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>

  1. قم بتمكين سجلات Resource Manager في Google Cloud Console، وقم بتمكين واجهة برمجة تطبيقات إدارة موارد السحابة إذا لم يتم تمكينها مسبقا، واحفظ التغييرات. تأكد من أن لديك أذونات IAM على مستوى المؤسسة لحسابك لمشاهدة جميع السجلات في التسلسل الهرمي للموارد. يمكنك الرجوع إلى ارتباطات المستند للحصول على أذونات IAM مختلفة للتحكم في الوصول باستخدام IAM في كل مستوى متوفر في هذا الارتباط

  2. قم بتوصيل مجمعات جديدة لتمكين سجلات Resource Manager GCP Microsoft Sentinel، انقر فوق الزر Add new collector، وقم بتوفير المعلومات المطلوبة في النافذة المنبثقة وانقر فوق Connect.



محرك Google Kubernetes (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

تمكنك سجلات محرك Google Kubernetes (GKE) من تسجيل نشاط نظام المجموعة وسلوك حمل العمل وأحداث الأمان، مما يسمح لك بمراقبة أحمال عمل Kubernetes وتحليل الأداء والكشف عن التهديدات المحتملة عبر مجموعات GKE.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GKEAudit نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>

  1. تمكين تسجيل محرك Kubernetes في حساب GCP الخاص بك، انتقل إلى قسم محرك Kubernetes. تمكين تسجيل السحابة لمجموعاتك. ضمن تسجيل السحابة، تأكد من تمكين السجلات المحددة التي تريد استيعابها - مثل خادم واجهة برمجة التطبيقات والمجدول ومدير وحدة التحكم وقرار HPA وسجلات التطبيقات - للمراقبة الفعالة وتحليل الأمان.

  2. قم بتوصيل مجمعين جدد لتمكين سجلات GKE Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق، وانقر فوق Connect.



مركز أوامر أمان Google

مدعوم من قبل:Microsoft Corporation

مركز أوامر أمان Google Cloud Platform (GCP) هو نظام أساسي شامل لإدارة الأمان والمخاطر ل Google Cloud، تم استيعابه من موصل Sentinel. يوفر ميزات مثل مخزون الأصول واكتشافها، والكشف عن الثغرات الأمنية والتهديدات، والتخفيف من المخاطر ومعالجتها لمساعدتك على الحصول على نظرة ثاقبة على سطح هجوم الأمان والبيانات في مؤسستك. يمكنك هذا التكامل من تنفيذ المهام المتعلقة بالنتائج والأصول بشكل أكثر فعالية.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GoogleCloudSCC نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

  1. قم بإعداد بيئة GCP الخاصة بك يجب أن يكون لديك موارد GCP التالية محددة ومكونة: الموضوع والاشتراك للموضوع وتجمع هوية حمل العمل وموفر هوية حمل العمل وحساب الخدمة مع أذونات للحصول عليها واستهلاكها من الاشتراك. يوفر Terraform واجهة برمجة تطبيقات ل IAM الذي ينشئ الموارد. ارتباط إلى البرامج النصية Terraform.
  • معرف المستأجر: معرف فريد يستخدم كمدخل في تكوين Terraform داخل بيئة GCP.: <قيمة متغيرة متوفرة في وقت التثبيت>
  1. قم بتوصيل مجمعات جديدة لتمكين GCP SCC Microsoft Sentinel، انقر فوق الزر Add new collector، واملأ المعلومات المطلوبة في جزء السياق وانقر فوق Connect.



أنشطة مساحة عمل Google (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات أنشطة مساحة عمل Google القدرة على استيعاب أحداث النشاط من واجهة برمجة تطبيقات مساحة عمل Google إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GoogleWorkspaceReports نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الوصول إلى واجهة برمجة تطبيقات مساحة عمل Google: مطلوب الوصول إلى واجهة برمجة تطبيقات أنشطة Google Workspace من خلال Oauth.

إرشادات الإعداد:

اتصل بمساحة عمل Google لبدء جمع سجلات نشاط المستخدم في Microsoft Sentinel

خطوات التكوين لواجهة برمجة تطبيقات تقارير Google

  1. تسجيل الدخول إلى وحدة تحكم Google السحابية باستخدام بيانات اعتماد https://console.cloud.google.comمسؤول مساحة العمل الخاصة بك .
  2. باستخدام خيار البحث (متوفر في الجزء العلوي الأوسط)، ابحث عن واجهات برمجة التطبيقات & Services
  3. من واجهات برمجة التطبيقات & Services ->Enabled APIs & Services، قم بتمكين مسؤول SDK API لهذا المشروع.
  4. انتقل إلى واجهات برمجة التطبيقات & Services ->شاشة موافقة OAuth. إذا لم يكن قد تم تكوينه بالفعل، فقم بإنشاء شاشة موافقة OAuth بالخطوات التالية:
    1. توفير اسم التطبيق ومعلومات إلزامية أخرى.
    2. اختر خارجي كنوع مستخدم للجمهور.
  5. انتقل إلى واجهات برمجة التطبيقات & Services ->Credentials وأنشئ معرف عميل OAuth 2.0
    1. انقر فوق Create Credentials في الأعلى وحدد Oauth client Id.
    2. حدد تطبيق ويب من القائمة المنسدلة نوع التطبيق.
    3. أدخل اسما مناسبا لتطبيق الويب وأضف عنوان URI لإعادة التوجيه في النموذج أدناه كعناوين URL لإعادة التوجيه المعتمدة.
    4. بمجرد النقر فوق إنشاء، سيتم تزويدك بمعرف العميل وسر العميل. انسخ هذه القيم واستخدمها في خطوات التكوين أدناه.
  6. انتقل إلى Google Auth Platform ->Data Access: إضافة نطاق واجهة برمجة تطبيقات SDK مسؤول

تكوين خطوات الوصول إلى Oauth لواجهة برمجة تطبيقات تقارير Google. بعد ذلك، قم بتوفير المعلومات المطلوبة أدناه وانقر فوق الاتصال.

  • شبكة موصلات البيانات (تكوين في المدخل)



موصل بيانات GravityZone

مدعوم من قبل:Bitdefender SRL

يتيح هذا الموصل التكامل بين Bitdefender GravityZoneMicrosoft Sentinel من خلال واجهة برمجة تطبيقات خدمة دفع الأحداث. بمجرد تكوينه، فإنه يتدفق جميع أنواع أحداث GravityZone مباشرة إلى مساحة عمل Microsoft Sentinel، حيث يتم تخزينها كسجلات في GzSecurityEvents_CL الجدول.

يمكن ربط فئات الأحداث الرئيسية مثل أحداث EDR وXDR والتخفيف من برامج الفدية الضارة وبيئة الاختبار المعزولة للشبكة وأحداث البرامج الضارة Exchange تلقائيا وإنشاء الحوادث من خلال قاعدة تحليلات تنبيهات الحوادث NRT GravityZone .

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GzSecurityEvents_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Azure App Registration: Microsoft Entra App Registration بالتفاصيل التالية التي احتفظ بها معرف الدليل (المستأجر)، ومعرف التطبيق (العميل)، ومعرف عنصر كيان الخدمة المدارة (من إدخال تطبيقات المؤسسة للتطبيق)، وسر العميل (الذي تم إنشاؤه ضمن الشهادات & الأسرار).
  • حساب سحابة GravityZone: حساب سحابة GravityZone مع مفتاح واجهة برمجة تطبيقات تم إنشاؤه لنقطة نهاية خدمة دفع الأحداث.
  • اقرأ دليلنا: اتبع هذه المقالة خطوة بخطوة لإعداد التكامل. العملاء | الشركاء

إرشادات الإعداد:

  1. انقر فوق الزر Deploy to Azure أدناه واملأ المعلمات المطلوبة.

aka.ms

  1. جمع عنوان URL لاستيعاب السجلات من gz-sentinel-dceنقطة نهاية تجميع البيانات

  2. جمع المعرف غير القابل للتغيير من gz-sentinel-dcrقاعدة جمع البيانات

  3. انتقل إلى حساب GravityZone Cloud وانتقل إلى حسابي. إنشاء مفتاح API باستخدام أذونات خدمة دفع الأحداث .

  4. قم بتكوين إعدادات خدمة دفع الأحداث باستخدام هذه المقالة. العملاء | الشركاء. يرجى ملاحظة أنه بعد التوزيع الناجح لموصل البيانات & الإعداد الناجح لخدمة دفع الأحداث في GravityZone، سيتلقى النظام بيانات سجل النشاط في الوقت الفعلي تقريبا. قد يحدث تأخير قصير بين نقل البيانات ومظهرها في قسم Microsoft Sentinel Logs.



تحليل ذكي للمخاطر في GreyNoise

مدعوم من قبل:غراينويز

يقوم موصل البيانات هذا بتثبيت تطبيق وظيفة Azure لتنزيل مؤشرات GreyNoise مرة واحدة يوميا وإدراجها في جدول ThreatIntelIndicators في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelIndicators نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • مفتاح واجهة برمجة تطبيقات GreyNoise: استرجع مفتاح واجهة برمجة تطبيقات GreyNoise هنا.

إرشادات الإعداد:

**يمكنك توصيل التحليل الذكي للمخاطر في GreyNoise ب Microsoft Sentinel باتباع الخطوات التالية: **

تنشئ الخطوات التالية تطبيق Azure AAD، وتسترد مفتاح واجهة برمجة تطبيقات GreyNoise، وتحفظ القيم في Azure Function App Configuration.

1. استرداد مفتاح API الخاص بك من Visualizer GreyNoise.

إنشاء مفتاح API من Visualizer GreyNoise https://docs.greynoise.io/docs/using-the-greynoise-api

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل. أيضا، احصل على معرف مساحة عمل Log Analytics المقترن بمثيل Microsoft Sentinel (يجب عرضه أدناه).

اتبع الإرشادات هنا لإنشاء تطبيق Azure AAD وحفظ معرف العميل ومعرف المستأجر: /azure/sentinel/connect-threat-intelligence-upload-api#instructions NOTE: انتظر حتى الخطوة 5 لإنشاء سر العميل الخاص بك.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

اتبع الإرشادات هنا لإضافة دور المساهم Microsoft Sentinel: /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

4. حدد أذونات AAD لتمكين وصول MS Graph API إلى واجهة برمجة تطبيقات مؤشرات التحميل.

اتبع هذا القسم هنا لإضافة إذن 'ThreatIndicators.ReadWrite.OwnedBy' إلى تطبيق AAD: /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. مرة أخرى في تطبيق AAD الخاص بك، تأكد من منح موافقة المسؤول للأذونات التي أضفتها للتو. وأخيرا، في قسم "الرموز المميزة وواجهات برمجة التطبيقات"، قم بإنشاء سر العميل وحفظه. ستحتاج إليه في الخطوة 6.

5. نشر حل التحليل الذكي للمخاطر (جديد)، (الإصدار 3.0.14 أو أحدث) الذي يتضمن واجهة برمجة تطبيقات مؤشرات تحميل التحليل الذكي للمخاطر (معاينة)

راجع Microsoft Sentinel Content Hub لهذا الحل، وقم بتثبيته في مثيل Microsoft Sentinel. لاحظ أنك لا تحتاج إلى إجراء أي تكوين في هذه الخطوة.

6. توزيع الدالة Azure

انقر فوق الزر Deploy to Azure.

aka.ms

املأ القيم المناسبة لكل معلمة. يجب أن تدرك أن القيم الصالحة الوحيدة للمعلمة GREYNOISE_CLASSIFICATIONS حميدة وضارة و/أو غير معروفة، والتي يجب فصلها بفواصل.

7. إرسال مؤشرات إلى Sentinel

يستعلم تطبيق الوظائف المثبت في الخطوة 6 عن واجهة برمجة تطبيقات GNQL الرمادية مرة واحدة في اليوم، ويرسل كل مؤشر موجود بتنسيق STIX 2.1 إلى واجهة برمجة تطبيقات مؤشرات التحليل الذكي للمخاطر للتحميل من Microsoft. تنتهي صلاحية كل مؤشر في حوالي 24 ساعة من الإنشاء ما لم يتم العثور عليه في استعلام اليوم التالي. في هذه الحالة، يكون مؤشر TI صالحا حتى يتم تمديد الوقت لمدة 24 ساعة أخرى، ما يبقيه نشطا في Microsoft Sentinel.

لمزيد من المعلومات حول واجهة برمجة تطبيقات GreyNoise ولغة الاستعلام الرمادية (GNQL)، انقر هنا.



موصل Halcyon

مدعوم من قبل:Halcyon

يوفر موصل Halcyon القدرة على إرسال البيانات من Halcyon إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
HalcyonEvents_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra إنشاء أذونات: أذونات لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • أذونات تعيين الدور: أذونات الكتابة المطلوبة لتعيين دور ناشر مقاييس المراقبة إلى قاعدة جمع البيانات (DCR). يتطلب عادة دور المالك أو مسؤول وصول المستخدم على مستوى مجموعة الموارد.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يقرأ هذا الموصل البيانات من الجداول التي يستخدمها Halcyon في مساحة عمل Microsoft Analytics، إذا كانت البيانات قيد إعادة التوجيه

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. تكوين تكاملك في النظام الأساسي Halcyon

استخدم المعلمات التالية لتكوين تكاملك في Halcyon Platform.

  • معرف الدليل (معرف المستأجر): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق (معرف العميل):<القيمة المتغيرة المتوفرة في وقت التثبيت>
  • Entra App Registration Secret (بيانات الاعتماد السرية) (لن يكون هذا السر مرئيا بعد مغادرة هذه الصفحة): <قيمة متغيرة متوفرة في وقت التثبيت>
  • نقطة نهاية تجميع البيانات (URL): <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة جمع البيانات (معرف القاعدة): <قيمة متغيرة متوفرة في وقت التثبيت>



بيانات أصول أمان Holm (باستخدام وظائف Azure)

مدعوم من قبل:Holm Security

يوفر الموصل القدرة على استقصاء البيانات من مركز أمان Holm إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
net_assets_CL لا لا
web_assets_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بأصول أمان Holm لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين واجهة برمجة تطبيقات الأمان Holm

اتبع هذه الإرشادات لإنشاء رمز مميز لمصادقة واجهة برمجة التطبيقات.

الخطوة 2 - استخدام خيار النشر أدناه لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل Holm Security، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى الرمز المميز لتخويل Holm واجهة برمجة تطبيقات الأمان، المتوفر بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

توزيع قالب Azure Resource Manager (ARM)

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل Holm Security.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل واسم مستخدم واجهة برمجة التطبيقات وكلمة مرور واجهة برمجة التطبيقات و/أو الحقول المطلوبة الأخرى.

ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.



سجلات IIS لخوادم Microsoft Exchange

مدعوم من قبل:المجتمع

[الخيار 5] - باستخدام Azure Monitor Agent - يمكنك دفق جميع سجلات IIS من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكنك هذا الاتصال من إنشاء تنبيهات مخصصة وتحسين التحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
W3CIISLog نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure سيتم إهمال Log Analytics، لجمع البيانات من الأجهزة الظاهرية غير Azure، يوصى Azure Arc. معرفة المزيد
  • الوثائق التفصيلية: >ملاحظة: يمكن العثور على وثائق مفصلة حول إجراء التثبيت والاستخدام هنا

إرشادات الإعداد:

ملاحظه: يعتمد هذا الحل على الخيارات. يسمح لك هذا باختيار البيانات التي سيتم استيعابها حيث يمكن لبعض الخيارات إنشاء حجم كبير جدا من البيانات. اعتمادا على ما تريد جمعه، يمكنك تعقب المصنفات وقواعد التحليلات وقدرات التتبع التي ستختار الخيار (الخيارات) التي ستنشرها. كل خيارات مستقلة عن الأخرى. لمعرفة المزيد حول كل خيار: "أمان Microsoft Exchange" wiki

موصل البيانات هذا هو الخيار 5 من wiki.

1. قم بتنزيل وتثبيت العوامل اللازمة لجمع السجلات Microsoft Sentinel

يعتمد نوع الخوادم (خوادم Exchange أو وحدات التحكم بالمجال المرتبطة بخوادم Exchange أو جميع وحدات التحكم بالمجال) على الخيار الذي تريد نشره.

توزيع عوامل المراقبة

هذه الخطوة مطلوبة فقط إذا كانت هذه هي المرة الأولى التي تقوم فيها بإلحاق Exchange Servers/Domain Controllers بنشر عامل Azure Arc معرفة المزيد

[الخيار 5] سجلات IIS لخوادم Exchange

حدد كيفية دفق سجلات IIS لخوادم Exchange

تمكين قاعدة جمع البيانات

يتم جمع سجلات IIS فقط من وكلاء Windows .

الخيار 1 - قالب Azure Resource Manager (ARM) (الأسلوب المفضل)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCE وDCR.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. يمكنك تغيير الاسم المقترح ل DCE.

  4. انقر فوق إنشاء للنشر.

ب. توزيع قاعدة اتصال البيانات

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. من مدخل Azure، انتقل إلى نقطة نهاية تجميع البيانات Azure.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة وامنح اسما ل DCE.
  4. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

ب. إنشاء DCR، اكتب سجل IIS

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة، وحدد Windows كنوع النظام الأساسي وامنح اسما ل DCR. حدد DCE الذي تم إنشاؤه.
  4. في علامة التبويب الموارد ، أدخل خوادم Exchange.
  5. في "التجميع والتسليم"، أضف نوع مصدر البيانات "سجلات IIS" (لا تدخل مسارا إذا تم تكوين مسار سجلات IIS بشكل افتراضي). انقر فوق "إضافة مصدر بيانات"
  6. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR



Illumio Insights

مدعوم من قبل:Illumio

يسمح موصل بيانات Illumio Insights استيعاب السجلات من واجهة برمجة تطبيقات Illumio في Microsoft Sentinel. تم إنشاء موصل البيانات على Microsoft Sentinel Codeless Connector Framework. يستخدم واجهة برمجة تطبيقات Illumio لجلب السجلات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل بيانات الأمان المستلمة في جدول مخصص بحيث لا تحتاج الاستعلامات إلى تحليلها مرة أخرى، مما يؤدي إلى أداء أفضل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
IlumioInsights نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات Illumio Insights

المتطلبات الأساسية

  • التسجيل وتسجيل الدخول إلى Illumio Console باستخدام بيانات اعتماد صالحة
  • يجب تخزين بيانات اعتماد العميل في حساب Microsoft Sentinel للمستأجر

الخطوة 1: تسجيل حساب الخدمة

  1. انتقل إلى Illumio Console → Access → Service Accounts
  2. إنشاء حساب خدمة للمستأجر
  3. بمجرد إنشاء حساب خدمة، ستتلقى بيانات اعتماد العميل
  4. انسخ اسم المستخدم (مفتاح API) والخطوة السرية 2: إضافة بيانات اعتماد العميل إلى حساب Sentinel
  • إضافة مفتاح API والبيانات السرية إلى حساب Sentinel لمصادقة المستأجر
  • سيتم استخدام بيانات الاعتماد هذه لمصادقة المكالمات إلى واجهة برمجة تطبيقات Illumio SaaS

الخطوة 3: استخدام واجهة برمجة التطبيقات سيستخدم الموصل بيانات الاعتماد هذه لاستدعاء واجهة برمجة تطبيقات Illumio SaaS:

  • نقطة النهاية: GET https://gw.console.illum.io/api/v1/resource-insights
  • الرؤوس المطلوبة:
    • x-illumio-tenant-id: معرف مستأجر Illumio الخاص بك
    • x-auth-key: مفتاح واجهة برمجة التطبيقات الذي تم الحصول عليه من الخطوة 1
    • x-auth-X-api-secret: المفتاح السري الذي تم الحصول عليه من الخطوة 1

التحقق من صحة المصادقة Illumio يتحقق من صحة الطلب مقابل:

  • التوقيع مقابل المفاتيح العامة لمعرف Entra
  • يتطابق الجمهور (aud) مع معرف التطبيق URI لواجهة برمجة التطبيقات
  • التحقق من صحة المصدر

يرجى تعبئة الحقول المطلوبة أدناه ببيانات الاعتماد التي تم الحصول عليها من وحدة تحكم Illumio:

  • مفتاح واجهة برمجة تطبيقات Illumio Insights: (api_XXXXXX)
  • Api Secret: (API Secret)
  • معرف المستأجر Illumio: ({illumioTenantId})
  • تمكين/تعطيل الاتصال



ملخص Illumio Insights

مدعوم من قبل:Illumio

يوفر موصل بيانات ملخص Illumio Insights القدرة على استيعاب رؤى أمان Illumio وتقارير تحليل التهديدات في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق Illumio API لمزيد من المعلومات. يوفر الموصل القدرة على الحصول على تقارير موجزة يومية وأسبوعية من Illumio وتصورها في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
IllumioInsightsSummary_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • الوصول إلى Illumio API: مطلوب الوصول إلى واجهة برمجة تطبيقات Illumio لواجهة برمجة تطبيقات ملخص Illumio Insights.

إرشادات الإعداد:

1. التكوين

تكوين موصل ملخص Illumio Insights.

[! ملاحظة] يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل.

  • مفتاح واجهة برمجة تطبيقات Illumio Insights: (api_XXXXXX)
  • Api Secret: (API Secret)
  • معرف المستأجر Illumio: ({illumioTenantId})

2. الاتصال

تمكين موصل ملخص Illumio Insights.

  • تمكين/تعطيل الاتصال



Illumio SaaS (باستخدام وظائف Azure)

مدعوم من قبل:Illumio

يوفر موصل Illumio القدرة على استيعاب الأحداث في Microsoft Sentinel. يوفر الموصل القدرة على استيعاب الأحداث القابلة للتدقيق والتدفق من مستودع AWS S3.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Illumio_Auditable_Events_CL نعم نعم
Illumio_Flow_Events_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات حساب SQS وAWS S3: مطلوب AWS_SECRETAWS_REGION_NAMEAWS_KEYQUEUE_URL . إذا كنت تستخدم مستودع s3 الذي يوفره Illumio، فاتصل بدعم Illumio. بناء على طلبك، سيوفرون لك اسم مستودع AWS S3 وعنوان URL ل AWS SQS وبيانات اعتماد AWS للوصول إليها.
  • مفتاح وسر واجهة برمجة تطبيقات Illumio: ILLUMIO_API_KEY، ILLUMIO_API_SECRET مطلوب لمصنف للاتصال ب SaaS PCE وجلب استجابات واجهة برمجة التطبيقات.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب AWS SQS / S3 لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) قم بتخزين مفتاح (مفاتيح) تخويل API أو الرمز المميز (الرموز) بأمان في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

المتطلبات الأساسية

  1. تأكد من تكوين AWS SQS لمستودع s3 الذي سيتم سحب التدفق وسجلات الأحداث القابلة للتدقيق منه. في حالة توفر Illumio مستودعا، يرجى الاتصال بدعم Illumio ل sqs url واسم مستودع s3 وبيانات اعتماد aws.
  2. تسجيل تطبيق AAD - ل DCR (قاعدة جمع البيانات) لاستيعاب البيانات في تحليلات السجل، يجب عليك استخدام تطبيق Entra. 1. اتبع الإرشادات هنا (الخطوات من 1 إلى 5) للحصول على معرف مستأجر AAD ومعرف عميل AAD وAd Client Secret.
  3. تأكد من إنشاء مساحة عمل تحليلات السجل. يرجى الاحتفاظ بالاسم والمنطقة التي تم نشرها فيها.

نشر

اختر أحد الأساليب من الخيارات أدناه. استخدم إما قالب ARM أدناه لتوزيع موارد azure أو توزيع تطبيق الوظائف يدويا.

1. قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموارد Azure باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. توفير التفاصيل المطلوبة مثل مساحة عمل Microsoft Sentinel وبيانات اعتماد AWS وتفاصيل تطبيق Azure AD وتكوينات الاستيعاب

ملاحظه: يوصى بإنشاء مجموعة موارد جديدة لتوزيع تطبيق الوظائف والموارد المرتبطة بها. 3. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 4. انقر فوق شراء للنشر.

2. توزيع تطبيقات وظائف إضافية للتعامل مع المقياس

استخدم هذا الأسلوب للتوزيع التلقائي لتطبيقات الوظائف الإضافية باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

3. النشر اليدوي لوظائف Azure

التوزيع عبر تعليمة Visual Studio برمجية.

  1. توزيع تطبيق الوظائف

  2. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  3. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.

  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

  5. تكوين تطبيق الوظائف

  6. اتبع ارتباط> إدراج الوثائق <لإعداد جميع متغيرات البيئة المطلوبة وانقر فوق حفظ. تأكد من إعادة تشغيل تطبيق الوظائف بمجرد حفظ الإعدادات.



Imperva Cloud WAF (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Imperva Cloud WAF القدرة على دمج أحداث جدار حماية تطبيق الويب واستيعابها في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق تكامل السجل لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ImpervaWAFCloud_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: ImpervaAPIID، ImpervaAPIKey، ImpervaLogServerURI مطلوبة لواجهة برمجة التطبيقات. لمزيد من المعلومات، راجع عملية إعداد تكامل سجل. تحقق من جميع المتطلبات واتبع الإرشادات للحصول على بيانات الاعتماد. يرجى ملاحظة أن هذا الموصل يستخدم تنسيق حدث سجل CEF. مزيد من المعلومات حول تنسيق السجل.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب Imperva Cloud API لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع تطبيق وظائف Azure.

**ملاحظة:**يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع ImpervaWAFCloud الذي يتم نشره باستخدام Microsoft Sentinel Solution.

الخطوة 1 - خطوات التكوين لتكامل السجل

اتبع الإرشادات للحصول على بيانات الاعتماد.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ووظائف Azure المقترنة

الهامه: قبل نشر موصل بيانات مساحة العمل، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Imperva Cloud WAF باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل ImpervaAPIID و ImpervaAPIKey و ImpervaLogServerURI وانشر. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Imperva Cloud WAF يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير وظائف Azure.

  1. قم بتنزيل ملف دالات Azure App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال ImpervaCloudXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Imperva Cloud WAF (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Imperva WAF Cloud القدرة على استيعاب السجلات في Microsoft Sentinel باستخدام تكامل سجل Imperva عبر AWS S3 مع إشعارات SQS. يقوم الموصل بتحليل أحداث WAF بتنسيق CEF بما في ذلك سجلات الوصول وتنبيهات الأمان للكشف عن التهديدات والتحقيق فيها. راجع Imperva WAF Cloud Log Integration لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ImpervaWAFCloud لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

**توصيل Imperva WAF Cloud Microsoft Sentinel

**

ملاحظه: يجلب هذا الموصل سجلات Imperva Cloud WAF من مستودع AWS S3

لجمع البيانات من Imperva، تحتاج إلى تكوين الموارد التالية

  1. AWS Role ARN لجمع البيانات من Imperva، ستحتاج إلى AWS Role ARN.

  2. عنوان URL لقائمة انتظار AWS SQS لجمع البيانات من Imperva، ستحتاج إلى عنوان URL لقائمة انتظار AWS SQS.

للحصول على خطوات مفصلة لاسترداد AWS Role ARN وعنوان URL لقائمة انتظار SQS وتكوين إعادة توجيه سجل Imperva إلى مستودع Amazon S3، راجع دليل إعداد الموصل.

  • شبكة موصلات البيانات (تكوين في المدخل)



Infoblox Cloud Data Connector عبر AMA

مدعوم من قبل:Infoblox

يسمح لك Infoblox Cloud Data Connector بتوصيل بيانات Infoblox بسهولة Microsoft Sentinel. من خلال توصيل سجلاتك Microsoft Sentinel، يمكنك الاستفادة من البحث & الارتباط والتنبيه وإثراء التحليل الذكي للمخاطر لكل سجل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommonSecurityLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

الهامه: يفترض موصل البيانات Microsoft Sentinel هذا أنه تم بالفعل إنشاء مضيف موصل بيانات Infoblox وتكوينه في مدخل Infoblox Cloud Services Portal (CSP). نظرا لأن Infoblox Data Connector هو ميزة من ميزات Threat Defense، يلزم الوصول إلى اشتراك دفاع التهديد المناسب. راجع دليل البدء السريع هذا لمزيد من المعلومات ومتطلبات الترخيص.

1. Linux تكوين عامل Syslog

قم بتثبيت عامل Linux وتكوينه لجمع رسائل Syslog بتنسيق الحدث الشائع (CEF) وإعادة توجيهها إلى Microsoft Sentinel.

لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة

1.1 تحديد جهاز Linux أو إنشائه

حدد أو أنشئ جهازا Linux سيستخدمه Microsoft Sentinel كوكيل بين حل الأمان الخاص بك Microsoft Sentinel يمكن أن يكون هذا الجهاز على البيئة المسبقة أو Azure أو السحب الأخرى.

1.2 تثبيت مجمع CEF على جهاز Linux

قم بتثبيت عامل مراقبة Microsoft على جهاز Linux وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP.

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version.

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك.

  • قم بتشغيل الأمر التالي لتثبيت وتطبيق مجمع CEF:< قيمة متغيرة متوفرة في وقت التثبيت>

2. تكوين Infoblox لإرسال بيانات Syslog إلى Infoblox Cloud Data Connector لإعادة التوجيه إلى عامل Syslog

اتبع الخطوات أدناه لتكوين Infoblox CDC لإرسال البيانات إلى Microsoft Sentinel عبر عامل Linux Syslog.

  1. انتقل إلى إدارة > موصل البيانات.
  2. انقر فوق علامة التبويب تكوين الوجهة في الأعلى.
  3. انقر فوق Create > Syslog.
  • الاسم: امنح الوجهة الجديدة اسما ذا معنى، مثل Microsoft-Sentinel-Destination.
  • الوصف: أعطه وصفا ذا معنى اختياريا.
  • الحالة: قم بتعيين الحالة إلى ممكن.
  • التنسيق: قم بتعيين التنسيق إلى CEF.
  • FQDN/IP: أدخل عنوان IP لجهاز Linux الذي تم تثبيت عامل Linux عليه.
  • المنفذ: اترك رقم المنفذ عند 514.
  • البروتوكول: حدد البروتوكول المطلوب وشهادة المرجع المصدق إذا كان ذلك ممكنا.
  • انقر فوق حفظ & إغلاق.
  1. انقر فوق علامة التبويب تكوين تدفق نسبة استخدام الشبكة في الأعلى.
  2. انقر فوق إنشاء.
  • الاسم: امنح تدفق نسبة استخدام الشبكة الجديد اسما ذا معنى، مثل Microsoft-Sentinel-Flow.
  • الوصف: أعطه وصفا ذا معنى اختياريا.
  • الحالة: قم بتعيين الحالة إلى ممكن.
  • قم بتوسيع قسم مثيل الخدمة .
  • مثيل الخدمة: حدد مثيل الخدمة المطلوب الذي تم تمكين خدمة موصل البيانات له.
  • قم بتوسيع قسم تكوين المصدر .
  • المصدر: حدد BloxOne Cloud Source.
  • حدد جميع أنواع السجلات المطلوبة التي ترغب في جمعها. أنواع السجلات المدعومة حاليا هي:
  • استعلام الدفاع عن التهديد/سجل الاستجابة
  • سجل مرات الوصول إلى موجزات تهديدات الدفاع عن المخاطر
  • سجل استعلام/استجابة DDI
  • سجل إيجار DDI DHCP
  • قم بتوسيع قسم تكوين الوجهة .
  • حدد الوجهة التي أنشأتها للتو.
  • انقر فوق حفظ & إغلاق.
  1. اسمح للتكوين ببعض الوقت للتنشيط.

3. التحقق من صحة الاتصال

اتبع الإرشادات للتحقق من صحة الاتصال:

افتح Log Analytics للتحقق مما إذا تم تلقي السجلات باستخدام مخطط CommonSecurityLog.

قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.

إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك

  • قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:: <قيمة متغيرة متوفرة في وقت التثبيت>

**4. تأمين جهازك **

تأكد من تكوين أمان الجهاز وفقا لنهج الأمان الخاص بمؤسستك

التعرف على المزيد >



Infoblox Data Connector عبر REST API

مدعوم من قبل:Infoblox

يسمح لك Infoblox Data Connector بتوصيل بيانات Infoblox TIDE وبيانات Dossier بسهولة Microsoft Sentinel. من خلال توصيل بياناتك Microsoft Sentinel، يمكنك الاستفادة من البحث & الارتباط والتنبيه وإثراء التحليل الذكي للمخاطر لكل سجل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Failed_Range_To_Ingest_CL لا لا
Infoblox_Failed_Indicators_CL لا لا
dossier_whois_CL لا لا
dossier_whitelist_CL لا لا
dossier_tld_risk_CL لا لا
dossier_threat_actor_CL لا لا
dossier_rpz_feeds_records_CL لا لا
dossier_rpz_feeds_CL لا لا
dossier_nameserver_matches_CL لا لا
dossier_nameserver_CL لا لا
dossier_malware_analysis_v3_CL لا لا
dossier_inforank_CL لا لا
dossier_infoblox_web_cat_CL لا لا
dossier_geo_CL لا لا
dossier_dns_CL لا لا
dossier_atp_threat_CL لا لا
dossier_atp_CL لا لا
dossier_ptr_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في Microsoft Entra ID وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مفتاح واجهة برمجة تطبيقات Infoblox مطلوب. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على مرجع Rest API

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Infoblox لإنشاء مؤشرات التهديد ل TIDE وسحب بيانات الملف إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ دليل المبادئ TriggersSync.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 2 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ دليل المبادئ TriggersSync. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ دليل المبادئ TriggersSync.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 3 - تعيين دور المساهم للتطبيق في Microsoft Entra ID

اتبع الخطوات الواردة في هذا القسم لتعيين الدور:

  1. في مدخل Azure، انتقل إلى مجموعة الموارد وحدد مجموعة الموارد الخاصة بك.
  2. انتقل إلى Access control (IAM) من اللوحة اليسرى.
  3. انقر فوق إضافة، ثم حدد إضافة تعيين دور.
  4. حدد المساهم كدور وانقر فوق التالي.
  5. في تعيين الوصول إلى، حدد User, group, or service principal.
  6. انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
  7. انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.

رابط المرجع:/azure/role-based-access-control/role-assignments-portal

الخطوة 4 - خطوات إنشاء بيانات اعتماد واجهة برمجة تطبيقات Infoblox

اتبع هذه الإرشادات لإنشاء مفتاح واجهة برمجة تطبيقات Infoblox. في مدخل Infoblox Cloud Services، قم بإنشاء مفتاح API وانسخه في مكان آمن لاستخدامه في الخطوة التالية. يمكنك العثور على إرشادات حول كيفية إنشاء مفاتيح واجهة برمجة التطبيقات هنا.

الخطوة 5 - خطوات نشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات Infoblox، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..، بالإضافة إلى بيانات اعتماد تخويل واجهة برمجة تطبيقات Infoblox

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل Infoblox Data.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Azure معرف المستأجر Azure معرف العميل Azure معرف مورد مساحة عمل Infoblox API السري للعميل Infoblox Base URL معرف مساحة عمل معرف مساحة العمل (افتراضي: INFO) معرف مورد مساحة عمل Insights لمستوى التهديد الثقة

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.



Infoblox SOC Insight Data Connector عبر AMA

مدعوم من قبل:Infoblox

يسمح لك Infoblox SOC Insight Data Connector بتوصيل بيانات Infoblox BloxOne SOC Insight بسهولة باستخدام Microsoft Sentinel. من خلال توصيل سجلاتك Microsoft Sentinel، يمكنك الاستفادة من البحث & الارتباط والتنبيه وإثراء التحليل الذكي للمخاطر لكل سجل.

يدمج موصل البيانات هذا سجلات Infoblox SOC Insight CDC في مساحة عمل Log Analytics باستخدام عامل Azure Monitor الجديد. تعرف على المزيد حول استيعاب استخدام عامل Azure Monitor الجديد هنا. توصي Microsoft باستخدام موصل البيانات هذا.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommonSecurityLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • لجمع البيانات من الأجهزة الظاهرية غير Azure، يجب أن يكون لديهم Azure Arc مثبتا وممكنا. معرفة المزيد
  • يجب تثبيت تنسيق الحدث الشائع (CEF) عبر AMA وSyslog عبر موصلات بيانات AMA. معرفة المزيد

إرشادات الإعداد:

مفاتيح مساحة العمل

لاستخدام أدلة المبادئ كجزء من هذا الحل، ابحث عن معرف مساحة العمل والمفتاح الأساسي لمساحة العمل أدناه لراحتك.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • مفتاح مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

موزعي

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع يسمى InfobloxCDC_SOCInsights الذي يتم توزيعه باستخدام حل Microsoft Sentinel.

SOC Insights

يفترض موصل البيانات هذا أن لديك حق الوصول إلى Infoblox BloxOne Threat Defense SOC Insights. يمكنك العثور على مزيد من المعلومات حول SOC Insights هنا.

Infoblox Cloud Data Connector

يفترض موصل البيانات هذا أنه تم بالفعل إنشاء مضيف Infoblox Data Connector وتكوينه في مدخل Infoblox Cloud Services (CSP). نظرا لأن Infoblox Data Connector هو ميزة من ميزات BloxOne Threat Defense، يلزم الوصول إلى اشتراك BloxOne Threat Defense المناسب. راجع دليل البدء السريع هذا لمزيد من المعلومات ومتطلبات الترخيص.

اتبع الخطوات أدناه لتكوين موصل البيانات هذا

A. تكوين Common Event Format (CEF) عبر موصل بيانات AMA

ملاحظة: يتم جمع سجلات CEF فقط من Linux Agents

  1. انتقل إلى شفرة موصلات بيانات مساحة > العمل Microsoft Sentinel.

  2. ابحث عن Common Event Format (CEF) عبر موصل بيانات AMA وافتحه.

  3. تأكد من عدم وجود DCR موجود تم تكوينه لجمع المرفق المطلوب من السجلات لأنه قد يتسبب في تكرار السجل. إنشاء DCR جديد (قاعدة جمع البيانات).

    ملاحظة: يوصى بتثبيت عامل AMA v1.27 كحد أدنى. تعرف على المزيد وتأكد من عدم وجود DCR مكرر لأنه يمكن أن يسبب تكرار السجل.

  4. قم بتشغيل الأمر المتوفر في Common Event Format (CEF) عبر صفحة موصل بيانات AMA لتكوين مجمع CEF على الجهاز.

ب. داخل مدخل Infoblox Cloud Services، قم بتكوين Infoblox BloxOne لإرسال بيانات CEF Syslog إلى Infoblox Cloud Data Connector لإعادة التوجيه إلى عامل Syslog

اتبع الخطوات أدناه لتكوين Infoblox CDC لإرسال بيانات BloxOne إلى Microsoft Sentinel عبر عامل Linux Syslog.

  1. انتقل إلى إدارة > موصل البيانات.
  2. انقر فوق علامة التبويب تكوين الوجهة في الأعلى.
  3. انقر فوق Create > Syslog.
  • الاسم: امنح الوجهة الجديدة اسما ذا معنى، مثل Microsoft-Sentinel-Destination.
  • الوصف: أعطه وصفا ذا معنى اختياريا.
  • الحالة: قم بتعيين الحالة إلى ممكن.
  • التنسيق: قم بتعيين التنسيق إلى CEF.
  • FQDN/IP: أدخل عنوان IP لجهاز Linux الذي تم تثبيت عامل Linux عليه.
  • المنفذ: اترك رقم المنفذ عند 514.
  • البروتوكول: حدد البروتوكول المطلوب وشهادة المرجع المصدق إذا كان ذلك ممكنا.
  • انقر فوق حفظ & إغلاق.
  1. انقر فوق علامة التبويب تكوين تدفق نسبة استخدام الشبكة في الأعلى.
  2. انقر فوق إنشاء.
  • الاسم: امنح تدفق نسبة استخدام الشبكة الجديد اسما ذا معنى، مثل Microsoft-Sentinel-Flow.
  • الوصف: أعطه وصفا ذا معنى اختياريا.
  • الحالة: قم بتعيين الحالة إلى ممكن.
  • قم بتوسيع قسم مثيل الخدمة .
  • مثيل الخدمة: حدد مثيل الخدمة المطلوب الذي تم تمكين خدمة موصل البيانات له.
  • قم بتوسيع قسم تكوين المصدر .
  • المصدر: حدد BloxOne Cloud Source.
  • حدد نوع سجل الإعلامات الداخلية .
  • قم بتوسيع قسم تكوين الوجهة .
  • حدد الوجهة التي أنشأتها للتو.
  • انقر فوق حفظ & إغلاق.
  1. اسمح للتكوين ببعض الوقت للتنشيط.

ج. التحقق من صحة الاتصال

اتبع الإرشادات للتحقق من صحة الاتصال:

افتح Log Analytics للتحقق مما إذا تم تلقي السجلات باستخدام مخطط CommonSecurityLog.

قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.

إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك

  • قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:: <قيمة متغيرة متوفرة في وقت التثبيت>

**2. تأمين جهازك **

تأكد من تكوين أمان الجهاز وفقا لنهج الأمان الخاص بمؤسستك

التعرف على المزيد >



Infoblox SOC Insight Data Connector عبر REST API

مدعوم من قبل:Infoblox

يسمح لك Infoblox SOC Insight Data Connector بتوصيل بيانات Infoblox BloxOne SOC Insight بسهولة باستخدام Microsoft Sentinel. من خلال توصيل سجلاتك Microsoft Sentinel، يمكنك الاستفادة من البحث & الارتباط والتنبيه وإثراء التحليل الذكي للمخاطر لكل سجل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
InfobloxInsight_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

مفاتيح مساحة العمل

لاستخدام أدلة المبادئ كجزء من هذا الحل، ابحث عن معرف مساحة العمل والمفتاح الأساسي لمساحة العمل أدناه لراحتك.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • مفتاح مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

موزعي

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع يسمى InfobloxInsight الذي يتم نشره باستخدام Microsoft Sentinel Solution.

SOC Insights

يفترض موصل البيانات هذا أن لديك حق الوصول إلى Infoblox BloxOne Threat Defense SOC Insights. يمكنك العثور على مزيد من المعلومات حول SOC Insights هنا.

اتبع الخطوات أدناه لتكوين موصل البيانات هذا

1. إنشاء مفتاح واجهة برمجة تطبيقات Infoblox ونسخه في مكان آمن

في مدخل Infoblox Cloud Services، قم بإنشاء مفتاح API وانسخه في مكان آمن لاستخدامه في الخطوة التالية. يمكنك العثور على إرشادات حول كيفية إنشاء مفاتيح واجهة برمجة التطبيقات هنا.

2. تكوين دليل مبادئ Infoblox-SOC-Get-Open-Insights-API

إنشاء وتكوين دليل مبادئ Infoblox-SOC-Get-Open-Insights-API الذي يتم نشره باستخدام هذا الحل. أدخل مفتاح واجهة برمجة تطبيقات Infoblox في المعلمة المناسبة عند مطالبتك بذلك.



InfoSecGlobal Data Connector

مدعوم من قبل:InfoSecGlobal

استخدم موصل البيانات هذا للتكامل مع InfoSec Crypto Analytics والحصول على البيانات المرسلة مباشرة إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
InfoSecAnalytics_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

InfoSecGlobal Crypto Analytics Data Connector

  1. يتم إرسال البيانات إلى Microsoft Sentinel من خلال Logstash
  2. يتم تضمين تكوين Logstash المطلوب مع تثبيت Crypto Analytics
  3. تشرح الوثائق المقدمة مع تثبيت تحليلات التشفير كيفية تمكين إرسال البيانات إلى Microsoft Sentinel
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



سجلات أمان IONIX (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:IONIX

يسمح لك موصل IONIX استيعاب عناصر الإجراء من النظام الأساسي IONIX Attack Surface Management إلى Microsoft Sentinel باستخدام إطار عمل الموصل بدون تعليمات برمجية (CCF). تمثل عناصر الإجراء نتائج الأمان والثغرات الأمنية التي تتطلب المعالجة.

يستقصي هذا الموصل تلقائيا واجهة برمجة تطبيقات IONIX ويكتب البيانات إلى جدول CyberpionActionItems_CL.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyberpionActionItems_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • رمز واجهة برمجة تطبيقات IONIX: مطلوب رمز مميز لواجهة برمجة التطبيقات من مدخل IONIX. أنشئ واحدا في واجهة برمجة تطبيقات الإعدادات > في مدخل IONIX.

إرشادات الإعداد:

توصيل IONIX Microsoft Sentinel

يستخدم هذا الموصل واجهة برمجة تطبيقات IONIX للاستقصاء تلقائيا عن عناصر الإجراء واستيعابها في Microsoft Sentinel. تحتاج إلى رمز مميز لواجهة برمجة التطبيقات من مدخل IONIX الخاص بك.

  • رمز واجهة برمجة تطبيقات IONIX: (أدخل الرمز المميز لواجهة برمجة تطبيقات JWT من واجهة برمجة تطبيقات إعدادات > IONIX)
  • اسم حساب IONIX: (cyberpion)
  • تمكين/تعطيل الاتصال



موصل بيانات إساءة استخدام IPinfo

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات standard_abuse وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_Abuse_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo ASN

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات standard_ASN وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_ASN_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo Carrier

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات standard_carrier وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_Carrier_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات شركة IPinfo

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات standard_company وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_Company_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل البيانات الأساسية IPinfo

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات البيانات الأساسية وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_CORE_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo Country ASN

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات country_asn وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_Country_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات مجال IPinfo

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات standard_domain وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_Domain_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo Iplocation

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات standard_location وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_Location_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



IPinfo Iplocation Extended Data Connector

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات standard_location_extended وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_Location_extended_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



IPinfo Plus Data Connector

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات Plus وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_PLUS_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات خصوصية IPinfo

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات standard_privacy وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_Privacy_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل البيانات الموسعة لخصوصية IPinfo

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات standard_privacy وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_Privacy_extended_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo ResProxy

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات ResProxy وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_RESIDENTIAL_PROXY_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo RIRWHOIS

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات RIRWHOIS وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_RIRWHOIS_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo RWHOIS

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات RWHOIS وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_RWHOIS_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo WHOIS ASN

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات WHOIS_ASN وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_WHOIS_ASN_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo WHOIS MNT

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات WHOIS_MNT وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_WHOIS_MNT_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo WHOIS NET

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات WHOIS_NET وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_WHOIS_NET_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo WHOIS ORG

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات WHOIS_ORG وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_WHOIS_ORG_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات IPinfo WHOIS POC

مدعوم من قبل:IPinfo

يقوم موصل بيانات IPinfo هذا بتثبيت تطبيق وظيفة Azure لتنزيل مجموعات بيانات WHOIS_POC وإدراجها في جدول سجل مخصص في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ipinfo_WHOIS_POC_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات IPinfo: استرداد الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

إرشادات الإعداد:

1. استرداد الرمز المميز لواجهة برمجة التطبيقات

استرجع الرمز المميز لواجهة برمجة تطبيقات IPinfo هنا.

2. في مستأجر Azure AD الخاص بك، قم بإنشاء تطبيق Azure Active Directory (AAD)

في مستأجر Azure AD، قم بإنشاء تطبيق Azure Active Directory (AAD) والحصول على معرف المستأجر ومعرف العميل وسر العميل: استخدم هذا الارتباط.

3. تعيين تطبيق AAD دور المساهم Microsoft Sentinel.

قم بتعيين تطبيق AAD الذي قمت بإنشائه للتو إلى Contributor(Privileged administrator roles) و Monitoring Metrics Publisher(Job function roles) في نفس "Resource Group" التي تستخدمها ل "Log Analytic Workspace" التي تتم إضافة "Microsoft Sentinel" عليها: استخدم هذا الارتباط.

4. الحصول على معرف مورد مساحة العمل

استخدم جزء Log Analytic Workspace -> Properties الذي يحتوي على قيمة الخاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بالتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

5. توزيع الدالة Azure

استخدم هذا للتوزيع التلقائي لموصل بيانات IPinfo باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل RESOURCE_ID، IPINFO_TOKEN، TENANT_ID، CLIENT_ID، CLIENT_SECRET.

النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات IPinfo يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي Azure Function App.
  2. إنشاء Function App باستخدام Hosting Functions Premium أو خطة خدمة التطبيق باستخدام خيار متقدم باستخدام VSCode.
  3. اتبع إرشادات النشر اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  4. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Settings -> Configuration أو Environment variables.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



متصفح جزيرة Enterprise V2

مدعوم من قبل:جزيرة

يسمح لك موصل بيانات Azure Enterprise Browser V2 استيعاب أحداث المستخدم وأحداث المسؤول وأحداث النظام، كل ذلك داخل موصل واحد.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Island_UserEvents_V2_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مفتاح واجهة برمجة تطبيقات الجزيرة: مطلوب مفتاح واجهة برمجة تطبيقات الجزيرة. إنشاء مفتاح واجهة برمجة التطبيقات عبر وحدة تحكم إدارة الجزيرة. لمزيد من التعليمات، راجع وثائق الجزيرة الرسمية.

إرشادات الإعداد:

توصيل الجزيرة Microsoft Sentinel

يتوفر عنوان URL لواجهة برمجة التطبيقات ومفتاح واجهة برمجة التطبيقات عبر وحدة تحكم إدارة الجزيرة. لمزيد من التعليمات، راجع وثائق الجزيرة الرسمية.

  • عنوان URL لواجهة برمجة التطبيقات: (عنوان URL لواجهة برمجة التطبيقات)
  • مفتاح واجهة برمجة التطبيقات: (مفتاح)
  • تمكين/تعطيل الاتصال



Jamf حماية موصل الدفع

مدعوم من قبل:Jamf Software، LLC

يوفر موصل Jamf Protect القدرة على قراءة بيانات الأحداث الأولية من Jamf Protect في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
jamfprotecttelemetryv2_CL نعم نعم
jamfprotectunifiedlogs_CL نعم نعم
jamfprotectalerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR). يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يقرأ هذا الموصل البيانات من الجداول التي يستخدمها Jamf Protect في مساحة عمل Microsoft Analytics، إذا تم تمكين خيار إعادة توجيه البيانات في Jamf Protect، فسيتم إرسال بيانات الحدث الأولية إلى واجهة برمجة تطبيقات Microsoft Sentinel الاستيعاب.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. دفع سجلاتك إلى مساحة العمل

استخدم المعلمات التالية لتكوين جهازك لإرسال السجلات إلى مساحة العمل.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • اسم Stream السجلات الموحدة: <قيمة متغيرة متوفرة في وقت التثبيت>
  • بيانات تتبع الاستخدام Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • التنبيهات Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>



JoeSandboxThreatIntelligence (باستخدام وظائف Azure)

مدعوم من:ستيفان بهلمان

ينشئ موصل JoeSandboxThreatIntelligence تلقائيا التحليل الذكي للمخاطر ويغذيه لجميع عمليات الإرسال إلى JoeSandbox، ما يحسن الكشف عن التهديدات والاستجابة للحوادث في Sentinel. هذا التكامل السلس يمكن الفرق من معالجة التهديدات الناشئة بشكل استباقي.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في azure active Directory() وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مفتاح واجهة برمجة تطبيقات JoeSandbox مطلوب.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات JoeSandbox لسحب JoeSandbox Threat IOCs إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف تخزين Azure Blob. تحقق من صفحة تسعير دالات Azureوصفحة تسعير blob Storage Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM) لخطة استهلاك Flex

استخدم هذه الطريقة للتوزيع التلقائي لموصل البيانات باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف التطبيق، معرف المستأجر، سر العميل، مفتاح واجهة برمجة تطبيقات JoeSandbox، تاريخ الإحضار الأولي ل JoeSandbox، TimeInterval ونشره.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - قالب Azure Resource Manager (ARM) للخطة المتميزة

استخدم هذه الطريقة للتوزيع التلقائي لموصل البيانات باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف التطبيق، معرف المستأجر، سر العميل، مفتاح واجهة برمجة تطبيقات JoeSandbox، تاريخ الإحضار الأولي ل JoeSandbox، TimeInterval ونشره.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.



موصل دفع أمان Keeper

مدعوم من قبل:Keeper Security

يوفر موصل Keeper Security القدرة على قراءة بيانات الأحداث الأولية من Keeper Security في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
KeeperSecurityEventNewLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR). يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يقرأ هذا الموصل البيانات من الجداول التي يستخدمها Keeper Security في مساحة عمل Microsoft Analytics، إذا تم تمكين خيار إعادة توجيه البيانات في Keeper Security، فسيتم إرسال بيانات الحدث الأولية إلى واجهة برمجة تطبيقات Microsoft Sentinel الاستيعاب.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. دفع سجلاتك إلى مساحة العمل

استخدم المعلمات التالية لتكوين جهازك لإرسال السجلات إلى مساحة العمل.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • سجلات الأحداث Stream الاسم: <قيمة متغيرة متوفرة في وقت التثبيت>

3. تحديث وحدة تحكم مسؤول Keeper

قم بتكوين Keeper مسؤول Console بتفاصيل اتصال Azure لتمكين إعادة توجيه البيانات إلى Microsoft Sentinel.

تكوين Azure Monitor Logs في Keeper مسؤول Console

في Keeper مسؤول Console، قم بتسجيل الدخول كمسؤول Keeper. ثم انتقل إلى Reporting & Alerts وحدد Azure Monitor Logs.

قدم المعلومات التالية من الخطوة 2 أعلاه إلى وحدة تحكم مسؤول:

  • Azure معرف المستأجر: يمكنك العثور على هذا من منطقة "الاشتراكات" في Azure.
  • معرف التطبيق (العميل): يقع هذا في شاشة نظرة عامة على تسجيل التطبيق (KeeperLogging)
  • قيمة سر العميل: هذه هي قيمة سر العميل من أسرار تسجيل التطبيق.
  • عنوان URL لنقطة النهاية: هذا عنوان URL تم إنشاؤه بالتنسيق المحدد التالي: https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01

لتجميع عنوان URL لنقطة النهاية:

  • <عنوان URL> للمجموعة يأتي هذا من الخطوة 2 أعلاه
  • < >DCR_ID من قاعدة جامع البيانات، انسخ قيمة "المعرف غير القابل للتغيير"، على سبيل المثال.dcr-xxxxxxx
  • هذا هو اسم الجدول الذي تم إنشاؤه بواسطة Azure، على سبيل المثال.Custom-KeeperSecurityEventNewLogs

    على سبيل المثال:https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01



    LastPass Enterprise - Reporting (Polling CCF)

    مدعوم من قبل:الاستشارات الجماعية

    يوفر موصل LastPass Enterprise القدرة على سجلات تقارير LastPass (التدقيق) في Microsoft Sentinel. يوفر الموصل رؤية لتسجيلات الدخول والنشاط داخل LastPass (مثل قراءة كلمات المرور وإزالتها).

    جدول (جداول) تحليلات السجل:

    الجدول دعم DCR استيعاب البحيرة فقط
    LastPassNativePoller_CL نعم نعم

    دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

    المتطلبات المسبقه:

    إرشادات الإعداد:

    توصيل LastPass Enterprise Microsoft Sentinel

    قم بتوفير مفتاح واجهة برمجة تطبيقات توفير LastPass.



موصل الكشف عن تهديدات الأجهزة المحمولة (عبر إطار عمل موصل بدون تعليمات برمجية) (معاينة)

مدعوم من قبل:Lookout

يوفر موصل بيانات Lookout Mobile Threat Detection القدرة على استيعاب الأحداث المتعلقة بمخاطر أمان الأجهزة المحمولة في Microsoft Sentinel من خلال واجهة برمجة تطبيقات مخاطر الأجهزة المحمولة. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يساعدك هذا الموصل على فحص المخاطر الأمنية المحتملة التي تم اكتشافها في الأجهزة المحمولة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
LookoutMtdV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل موصل Lookout Mobile Threat Defence ب Microsoft Sentinel

قبل الاتصال ب Lookout، تأكد من اكتمال المتطلبات الأساسية التالية.

  1. ApiKey مطلوب لواجهة برمجة تطبيقات الكشف عن تهديدات الأجهزة المحمولة. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات. تحقق من جميع المتطلبات واتبع الإرشادات للحصول على بيانات الاعتماد.
  • مفتاح API: (أدخل مفتاح API الخاص بك )
  • تمكين/تعطيل الاتصال



Luminar IOCs وبيانات الاعتماد المسربة (باستخدام وظائف Azure)

مدعوم من قبل:Cognyte Luminar

يسمح Luminar IOCs وموصل بيانات الاعتماد المسربة بتكامل بيانات IOC المستندة إلى الذكاء والسجلات المسربة المتعلقة بالعميل التي حددتها Luminar.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في azure active Directory() وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب معرف عميل Luminarوسر عميل Luminarومعرف حساب Luminar .

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Cognyte Luminar لسحب Luminar IOCs وبيانات الاعتماد المسربة إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف تخزين Azure Blob. تحقق من صفحة تسعير دالات Azureوصفحة تسعير blob Storage Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل البيانات باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف التطبيق ومعرف المستأجروسر العميل ومعرف عميل Luminar API ومعرف حساب Luminar API وسر عميل Luminar API والحد و TimeInterval والتوزيع.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Cognyte Luminar يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظة: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، CognyteLuminarXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد + New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): معرف معرف التطبيق العميل السري Luminar API معرف عميل Luminar API معرف Luminar API Client Secret Limit TimeInterval - استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي:https://<CustomerId>.ods.opinsights.azure.us

  12. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



MailGuard 365

مدعوم من قبل:MailGuard 365

أمان البريد الإلكتروني المحسن ل MailGuard 365 ل Microsoft 365. حصريا لسوق Microsoft، تم دمج MailGuard 365 مع أمان Microsoft 365 (بما في ذلك Defender) لتحسين الحماية من تهديدات البريد الإلكتروني المتقدمة مثل التصيد الاحتيالي وبرامج الفدية الضارة وهجمات BEC المتطورة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
MailGuard365_Threats_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

تكوين واتصال MailGuard 365

  1. في وحدة تحكم MailGuard 365، انقر فوق إعدادات على شريط التنقل.
  2. انقر فوق علامة التبويب التكاملات .
  3. انقر فوق تمكين Microsoft Sentinel.
  4. أدخل معرف مساحة العمل والمفتاح الأساسي من الحقول أدناه، وانقر فوق إنهاء.
  5. للحصول على إرشادات إضافية، يرجى الاتصال بدعم MailGuard 365.
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



MailRisk by Secure Practice

مدعوم من قبل:التدريب الآمن

يتيح لك موصل MailRisk by Secure Practice استيعاب بيانات التحليل الذكي للمخاطر عبر البريد الإلكتروني من واجهة برمجة تطبيقات MailRisk في Microsoft Sentinel. يوفر هذا الموصل رؤية لرسائل البريد الإلكتروني التي تم الإبلاغ عنها وتقييمات المخاطر وأحداث الأمان المتعلقة بتهديدات البريد الإلكتروني.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
MailRiskEventEmails_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • بيانات اعتماد واجهة برمجة التطبيقات: مطلوب أيضا زوج مفاتيح واجهة برمجة تطبيقات الممارسة الآمنة، والتي يتم إنشاؤها في الإعدادات في مدخل المسؤول. إنشاء زوج مفاتيح جديد مع وصف Microsoft Sentinel.

إرشادات الإعداد:

1. الحصول على بيانات اعتماد واجهة برمجة تطبيقات الممارسة الآمنة

سجل الدخول إلى حساب التدريب الآمن الخاص بك وقم بإنشاء مفتاح API و API Secret إذا لم تكن قد قمت بالفعل.

2. الاتصال بواجهة برمجة تطبيقات MailRisk

أدخل بيانات اعتماد واجهة برمجة تطبيقات التدريب الآمن أدناه. سيتم تخزين بيانات الاعتماد واستخدامها بشكل آمن لمصادقة طلبات واجهة برمجة التطبيقات.

  • مفتاح API: (أدخل مفتاح واجهة برمجة تطبيقات التدريب الآمن)
  • API Secret: (أدخل سرية API الممارسة الآمنة)
  • تمكين/تعطيل الاتصال



سجلات أحداث meshStack

مدعوم من قبل:meshcloud GmbH

يوفر موصل meshStack Event Logs القدرة على استيعاب أحداث النظام الأساسي meshStack في Microsoft Sentinel. من خلال توصيل سجلات أحداث meshStack في Microsoft Sentinel، يمكنك عرض هذه البيانات في المصنفات، واستخدامها لإنشاء تنبيهات مخصصة، وتحسين عملية التحقيق الخاصة بك لإدارة النظام الأساسي السحابي والتدقيق ومراقبة التوافق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
meshStackEventLogs_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • meshStack OAuth2 API Key: مطلوب مفتاح واجهة برمجة تطبيقات meshStack صالح مع إذن "مسؤول: سرد سجلات الأحداث في أي مساحة عمل". إنشاء مفتاح واجهة برمجة التطبيقات في لوحة مسؤول meshStack ضمن مفاتيح واجهة برمجة تطبيقات التحكم في > الوصول. يوفر مفتاح API بيانات اعتماد OAuth2 (معرف المفتاح ك client_id وKey Secret ك client_secret) للمصادقة. ملاحظة: مفتاح واجهة برمجة التطبيقات مرتبط بمساحة عمل ولكن يمكنه الوصول إلى الأحداث من جميع مساحات العمل.
  • مثيل meshStack: الوصول إلى مثيل meshStack مع تمكين واجهة برمجة تطبيقات الأحداث.

إرشادات الإعداد:

توصيل سجلات أحداث meshStack ب Microsoft Sentinel

أدخل عنوان URL لمثيل meshStack وبيانات اعتماد OAuth2 من مفتاح واجهة برمجة التطبيقات. يجب أن يكون تنسيق عنوان URL لواجهة برمجة التطبيقات: https://your-meshstack-instance.io. إنشاء مفتاح API في meshStack (مسؤول مفاتيح واجهة برمجة تطبيقات التحكم > بالوصول إلى اللوحة>) باستخدام إذن "مسؤول: سرد سجلات الأحداث في أي مساحة عمل". يوفر مفتاح واجهة برمجة التطبيقات معرف مفتاح (client_id) ومفتاح سري (client_secret) لمصادقة OAuth2.

  • عنوان URL لواجهة برمجة تطبيقات meshStack: (https://your-meshstack-instance.io)
  • معرف العميل (معرف المفتاح): (أدخل معرف المفتاح من مفتاح واجهة برمجة التطبيقات)
  • سر العميل (سر المفتاح): (أدخل سر المفتاح من مفتاح واجهة برمجة التطبيقات)
  • تمكين/تعطيل الاتصال



Microsoft 365 (سابقا، Office 365)

مدعوم من قبل:Microsoft Corporation

يوفر موصل سجل نشاط Microsoft 365 (المعروف سابقا Office 365) نظرة ثاقبة على أنشطة المستخدم المستمرة. ستحصل على تفاصيل عمليات مثل تنزيلات الملفات وطلبات الوصول المرسلة والتغييرات على أحداث المجموعة وعلبة بريد المجموعة وتفاصيل المستخدم الذي نفذ الإجراءات. من خلال توصيل سجلات Microsoft 365 في Microsoft Sentinel يمكنك استخدام هذه البيانات لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين عملية التحقيق. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OfficeActivity نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft 365 Insider Risk Management

مدعوم من قبل:Microsoft Corporation

Microsoft 365 Insider Risk Management هو حل توافق في Microsoft 365 يساعد على تقليل المخاطر الداخلية من خلال تمكينك من اكتشاف الأنشطة الضارة وغير المقصودة في مؤسستك والتحقيق فيها والعمل عليها. يمكن لمحللي المخاطر في مؤسستك اتخاذ الإجراءات المناسبة بسرعة للتأكد من توافق المستخدمين مع معايير الامتثال لمؤسستك.

تسمح لك نهج المخاطر الداخلية بما يلي:

  • حدد أنواع المخاطر التي تريد تحديدها واكتشافها في مؤسستك.
  • تحديد الإجراءات التي يجب اتخاذها استجابة لذلك، بما في ذلك تصعيد الحالات إلى Microsoft Advanced eDiscovery إذا لزم الأمر.

ينتج عن هذا الحل تنبيهات يمكن لعملاء Office رؤيتها في حل Insider Risk Management في مركز التوافق في Microsoft 365. تعرف على المزيد حول إدارة المخاطر الداخلية.

يمكن استيراد هذه التنبيهات إلى Microsoft Sentinel باستخدام هذا الموصل، مما يسمح لك برؤيتها والتحقيق فيها والاستجابة لها في سياق تهديد تنظيمي أوسع. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityAlert نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Active-Directory Domain Controllers Security Event Logs

مدعوم من قبل:المجتمع

[الخيار 3 & 4] - باستخدام عامل Azure Monitor - يمكنك دفق جزء أو كل سجلات أحداث أمان وحدات التحكم بالمجال من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكنك هذا الاتصال من إنشاء تنبيهات مخصصة وتحسين التحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityEvent نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure سيتم إهمال Log Analytics، لجمع البيانات من الأجهزة الظاهرية غير Azure، يوصى Azure Arc. معرفة المزيد
  • الوثائق التفصيلية: >ملاحظة: يمكن العثور على وثائق مفصلة حول إجراء التثبيت والاستخدام هنا

إرشادات الإعداد:

ملاحظه: يعتمد هذا الحل على الخيارات. يسمح لك هذا باختيار البيانات التي سيتم استيعابها حيث يمكن لبعض الخيارات إنشاء حجم كبير جدا من البيانات. اعتمادا على ما تريد جمعه، يمكنك تعقب المصنفات وقواعد التحليلات وقدرات التتبع التي ستختار الخيار (الخيارات) التي ستنشرها. كل خيارات مستقلة عن الأخرى. لمعرفة المزيد حول كل خيار: "أمان Microsoft Exchange" wiki

موصل البيانات هذا هو الخيار 3 و4 من wiki.

1. قم بتنزيل وتثبيت العوامل اللازمة لجمع السجلات Microsoft Sentinel

يعتمد نوع الخوادم (خوادم Exchange أو وحدات التحكم بالمجال المرتبطة بخوادم Exchange أو جميع وحدات التحكم بالمجال) على الخيار الذي تريد نشره.

توزيع عوامل المراقبة

هذه الخطوة مطلوبة فقط إذا كانت هذه هي المرة الأولى التي تقوم فيها بإلحاق Exchange Servers/Domain Controllers بنشر عامل Azure Arc معرفة المزيد

سجلات الأمان لوحدات التحكم بالمجال

حدد كيفية دفق سجلات الأمان لوحدات التحكم بالمجال. إذا كنت ترغب في تنفيذ الخيار 3، فما عليك سوى تحديد DC على نفس موقع Exchange Servers. إذا كنت ترغب في تنفيذ الخيار 4، يمكنك تحديد جميع DCs الخاصة بغابتك.

[الخيار 3] سرد وحدات تحكم المجال فقط على نفس الموقع مثل خوادم Exchange للخطوة التالية

يحد هذا من كمية البيانات التي تم قذفها ولكن لا يمكن الكشف عن بعض الحوادث.

[الخيار 4] سرد جميع وحدات التحكم بالمجال في غابة Active-Directory للخطوة التالية

يسمح هذا بجمع جميع أحداث الأمان

مجموعة سجل أحداث الأمان

قواعد جمع البيانات - سجلات أحداث الأمان

تمكين قاعدة جمع البيانات لسجلات أحداث أمان سجلات الأمان يتم جمعها فقط من وكلاء Windows .

  1. إضافة DCs المختارة في علامة التبويب الموارد .
  2. حدد مستوى سجل الأمان

المستوى الشائع هو الحد الأدنى المطلوب. الرجاء تحديد "Common" أو "All Security Events" في تعريف DCR.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>



Microsoft Copilot

مدعوم من قبل:Microsoft

يتيح موصل سجلات Microsoft Copilot في Microsoft Sentinel استيعابا سلسا لسجلات النشاط التي تم إنشاؤها بواسطة Copilot من M365 Copilot Security Copilot إلى Microsoft Sentinel للكشف المتقدم عن التهديدات والتحقيق فيها والاستجابة لها. فهو يجمع بيانات تتبع الاستخدام من خدمات Microsoft Copilot مثل بيانات الاستخدام واستجابات النظام ويدمج في Microsoft Sentinel، مما يسمح لفرق الأمان بمراقبة إساءة الاستخدام واكتشاف الحالات الشاذة والحفاظ على التوافق مع النهج التنظيمية.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CopilotActivity لا نعم

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات المستأجر: "مسؤول الأمان" أو "المسؤول العام" على مستأجر مساحة العمل.

إرشادات الإعداد:

توصيل سجلات تدقيق Microsoft Copilot Microsoft Sentinel

يستخدم هذا الموصل واجهة برمجة تطبيقات إدارة Office للحصول على سجلات تدقيق Microsoft Copilot. سيتم تخزين السجلات ومعالجتها في مساحة عمل Microsoft Sentinel الحالية. يمكنك العثور على البيانات في جدول CopilotActivity .

  • تمكين/تعطيل الاتصال



Microsoft Dataverse

مدعوم من قبل:Microsoft Corporation

Microsoft Dataverse هو نظام أساسي للبيانات قابل للتطوير وآمن يمكن المؤسسات من تخزين البيانات المستخدمة من قبل تطبيقات الأعمال وإدارتها. يوفر موصل بيانات Microsoft Dataverse القدرة على استيعاب سجلات نشاط Dataverse وCRM Dynamics 365 من سجل Microsoft Purview Audit إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
DataverseActivity نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات المستأجر: "مسؤول الأمان" أو "المسؤول العام" على مستأجر مساحة العمل.
  • تدقيق Micorosft Purview: يجب تنشيط Microsoft Purview Audit (Standard أو Premium).
  • Production Dataverse: تسجيل النشاط متاح فقط لبيئات الإنتاج. لا تدعم الأنواع الأخرى، مثل بيئة الاختبار المعزولة، تسجيل النشاط.
  • إعدادات تدقيق Dataverse: يجب تكوين إعدادات التدقيق بشكل عمومي وعلى مستوى الكيان/الجدول. لمزيد من المعلومات، راجع إعدادات تدقيق Dataverse.

إرشادات الإعداد:

توصيل سجلات تدقيق Microsoft Dataverse Microsoft Sentinel

يستخدم هذا الموصل واجهة برمجة تطبيقات إدارة Office للحصول على سجلات تدقيق Dataverse. سيتم تخزين السجلات ومعالجتها في مساحة عمل Microsoft Sentinel الحالية. يمكنك العثور على البيانات في جدول DataverseActivity .

  • تمكين/تعطيل الاتصال



Microsoft Defender for Cloud Apps

مدعوم من قبل:Microsoft Corporation

من خلال الاتصال Microsoft Defender for Cloud Apps ستحصل على رؤية لتطبيقاتك السحابية، والحصول على تحليلات متطورة لتحديد التهديدات الإلكترونية ومكافحتها، والتحكم في كيفية انتقال بياناتك.

  • حدد تطبيقات سحابة Shadow IT على شبكتك.
  • التحكم في الوصول والحد منه استنادا إلى الشروط وسياق الجلسة.
  • استخدم النهج المضمنة أو المخصصة لمشاركة البيانات ومنع فقدان البيانات.
  • تحديد الاستخدام عالي المخاطر والحصول على تنبيهات لأنشطة المستخدم غير العادية باستخدام التحليلات السلوكية ل Microsoft وقدرات الكشف عن الحالات الشاذة، بما في ذلك نشاط برامج الفدية الضارة، والسفر المستحيل، وقواعد إعادة توجيه البريد الإلكتروني المشبوهة، والتنزيل الجماعي للملفات.
  • التنزيل الجماعي للملفات

التوزيع الآن >

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityAlert​ لا لا
McasShadowItReporting​ لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

Microsoft Defender لنقطة النهاية

مدعوم من قبل:Microsoft Corporation

Microsoft Defender لنقطة النهاية هو نظام أساسي للأمان مصمم لمنع التهديدات المتقدمة واكتشافها والتحقيق فيها والاستجابة لها. ينشئ النظام الأساسي تنبيهات عند رؤية أحداث الأمان المشبوهة في مؤسسة. قم بإحضار التنبيهات التي تم إنشاؤها في Microsoft Defender لنقطة النهاية Microsoft Sentinel بحيث يمكنك تحليل أحداث الأمان بشكل فعال. يمكنك إنشاء القواعد وإنشاء لوحات المعلومات وتأليف أدلة المبادئ للاستجابة الفورية. لمزيد من المعلومات، راجع وثائق >Microsoft Sentinel .

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityAlert نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Defender for Identity

مدعوم من قبل:Microsoft Corporation

اتصل Microsoft Defender for Identity للحصول على رؤية للأحداث وتحليلات المستخدم. Microsoft Defender for Identity تحديد التهديدات المتقدمة والهويات المخترقة والإجراءات الداخلية الضارة الموجهة إلى مؤسستك واكتشافها ومساعدتك عليها. تمكن Microsoft Defender for Identity محللي SecOp ومحترفي الأمان الذين يكافحون للكشف عن الهجمات المتقدمة في البيئات المختلطة من أجل:

  • مراقبة المستخدمين وسلوك الكيان والأنشطة باستخدام التحليلات المستندة إلى التعلم
  • حماية هويات المستخدمين وبيانات الاعتماد المخزنة في Active Directory
  • تحديد أنشطة المستخدم المشبوهة والهجمات المتقدمة والتحقيق فيها في جميع أنحاء سلسلة القتل
  • توفير معلومات واضحة عن الحادث على مخطط زمني بسيط للفرز السريع

حاول الآن >

التوزيع الآن >

لمزيد من المعلومات، راجع وثائق >Microsoft Sentinel .

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityAlert نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Defender ل IoT

مدعوم من قبل:Microsoft Corporation

احصل على رؤى حول أمان IoT الخاص بك عن طريق توصيل Microsoft Defender لتنبيهات IoT Microsoft Sentinel. يمكنك الحصول على مقاييس وبيانات التنبيه الجاهزة، بما في ذلك اتجاهات التنبيه، والتنبيهات العليا، وتصنيف التنبيه حسب الخطورة. يمكنك أيضا الحصول على معلومات حول التوصيات المقدمة لمراكز IoT الخاصة بك بما في ذلك أهم التوصيات والتوصيات حسب الخطورة. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityAlert نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Defender Office 365 (معاينة)

مدعوم من قبل:Microsoft Corporation

يحمي Microsoft Defender Office 365 مؤسستك من التهديدات الضارة التي تشكلها رسائل البريد الإلكتروني والارتباطات (عناوين URL) وأدوات التعاون. من خلال استيعاب Microsoft Defender للتنبيهات Office 365 في Microsoft Sentinel، يمكنك دمج معلومات حول التهديدات المستندة إلى البريد الإلكتروني وعنوان URL في تحليل المخاطر الأوسع وبناء سيناريوهات الاستجابة وفقا لذلك.

سيتم استيراد الأنواع التالية من التنبيهات:

  • تم الكشف عن نقرة URL يحتمل أن تكون ضارة
  • تمت إزالة رسائل البريد الإلكتروني التي تحتوي على برامج ضارة بعد التسليم
  • تمت إزالة رسائل البريد الإلكتروني التي تحتوي على عناوين URL للتصيد الاحتيالي بعد التسليم
  • البريد الإلكتروني الذي أبلغ عنه المستخدم على أنه برنامج ضار أو تصيد احتيالي
  • تم الكشف عن أنماط إرسال البريد الإلكتروني المشبوهة
  • المستخدم مقيد من إرسال البريد الإلكتروني

يمكن لعملاء Office رؤية هذه التنبيهات في ** مركز التوافق والأمان في Office**.

لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityAlert نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

تحليل ذكي للمخاطر في Microsoft Defender

مدعوم من قبل:Microsoft Corporation

يوفر لك Microsoft Sentinel القدرة على استيراد التحليل الذكي للمخاطر الذي أنشأته Microsoft لتمكين المراقبة والتنبيه والتتبع. استخدم موصل البيانات هذا لاستيراد مؤشرات التسوية (IOCs) من تحليل ذكي للمخاطر في Microsoft Defender (MDTI) إلى Microsoft Sentinel. يمكن أن تتضمن مؤشرات التهديد عناوين IP والمجالات وعناوين URL وتجزئات الملفات وما إلى ذلك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Defender XDR

مدعوم من قبل:Microsoft Corporation

Microsoft Defender XDR هو مجموعة دفاع مؤسسة موحدة ومتكاملة أصلا قبل الاختراق وما بعده تحمي نقطة النهاية والهوية والبريد الإلكتروني والتطبيقات وتساعدك على اكتشاف التهديدات المتطورة ومنعها والتحقيق فيها والاستجابة لها تلقائيا.

تتضمن مجموعة Microsoft Defender XDR ما يلي:

  • Microsoft Defender لنقطة النهاية
  • Microsoft Defender للهوية
  • Microsoft Defender لـ Office 365
  • إدارة الثغرات الأمنية & المخاطر
  • Microsoft Defender for Cloud Apps

لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityIncident نعم نعم
SecurityAlert نعم نعم
DeviceEvents نعم نعم
EmailEvents نعم نعم
IdentityLogonEvents نعم نعم
CloudAppEvents نعم نعم
AlertEvidence نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Entra ID

مدعوم من قبل:Microsoft Corporation

احصل على رؤى حول Microsoft Entra ID عن طريق توصيل سجلات التدقيق وتسجيل الدخول إلى Microsoft Sentinel لجمع رؤى حول سيناريوهات Microsoft Entra ID. يمكنك التعرف على استخدام التطبيق، ونهج الوصول المشروط، وتفاصيل ارتباط المصادقة القديمة باستخدام سجلات تسجيل الدخول الخاصة بنا. يمكنك الحصول على معلومات حول استخدام إعادة تعيين كلمة مرور الخدمة الذاتية (SSPR)، Microsoft Entra ID أنشطة الإدارة مثل المستخدم والمجموعة والدور وإدارة التطبيقات باستخدام جدول سجلات التدقيق. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SigninLogs نعم نعم
AuditLogs نعم نعم
AADNonInteractiveUserSignInLogs نعم نعم
AADServicePrincipalSignInLogs نعم نعم
AADManagedIdentitySignInLogs نعم نعم
AADProvisioningLogs نعم نعم
ADFSSignInLogs نعم نعم
AADUserRiskEvents نعم نعم
AADRiskyUsers نعم نعم
NetworkAccessTraffic نعم نعم
AADRiskyServicePrincipals نعم نعم
AADServicePrincipalRiskEvents نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

أصول Microsoft Entra ID

مدعوم من قبل:Microsoft Corporation

Entra يعطي موصل بيانات أصول المعرف رؤى أكثر ثراء حول بيانات النشاط من خلال استكمال التفاصيل بمعلومات الأصول. يتم استخدام البيانات من هذا الموصل لإنشاء رسوم بيانية لمخاطر البيانات في Purview. إذا قمت بتمكين هذه الرسوم البيانية، فإن إلغاء تنشيط هذا الموصل سيمنع إنشاء الرسوم البيانية. تعرف على الرسم البياني لمخاطر البيانات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:



حماية Microsoft Entra ID

مدعوم من قبل:Microsoft Corporation

توفر Microsoft Entra ID Protection عرضا موحدا للمستخدمين المعرضين للخطر وأحداث المخاطر والثغرات الأمنية، مع القدرة على معالجة المخاطر على الفور، وتعيين النهج للمعالجة التلقائية للأحداث المستقبلية. تعتمد الخدمة على تجربة Microsoft في حماية هويات المستهلكين وتكتسب دقة هائلة من الإشارة من أكثر من 13 مليار تسجيل دخول يوميا. دمج تنبيهات Microsoft Microsoft Entra ID Protection مع Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel .

الحصول على Microsoft Entra ID Premium P1/P2

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityAlert نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Exchange مسؤول سجلات التدقيق حسب سجلات الأحداث

مدعوم من قبل:المجتمع

[الخيار 1] - استخدام عامل Azure Monitor - يمكنك دفق جميع أحداث Exchange Audit من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكنك هذا الاتصال من عرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. يتم استخدام هذا بواسطة Microsoft Exchange Security Workbooks لتوفير رؤى أمان لبيئة Exchange المحلية

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Event نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure سيتم إهمال Log Analytics، لجمع البيانات من الأجهزة الظاهرية غير Azure، يوصى Azure Arc. معرفة المزيد
  • الوثائق التفصيلية: >ملاحظة: يمكن العثور على وثائق مفصلة حول إجراء التثبيت والاستخدام هنا

إرشادات الإعداد:

ملاحظه: يعتمد هذا الحل على الخيارات. يسمح لك هذا باختيار البيانات التي سيتم استيعابها حيث يمكن لبعض الخيارات إنشاء حجم كبير جدا من البيانات. اعتمادا على ما تريد جمعه، يمكنك تعقب المصنفات وقواعد التحليلات وقدرات التتبع التي ستختار الخيار (الخيارات) التي ستنشرها. كل خيارات مستقلة عن الأخرى. لمعرفة المزيد حول كل خيار: "أمان Microsoft Exchange" wiki

موصل البيانات هذا هو الخيار 1 من wiki.

1. قم بتنزيل وتثبيت العوامل اللازمة لجمع السجلات Microsoft Sentinel

يعتمد نوع الخوادم (خوادم Exchange أو وحدات التحكم بالمجال المرتبطة بخوادم Exchange أو جميع وحدات التحكم بالمجال) على الخيار الذي تريد نشره.

توزيع عوامل المراقبة

هذه الخطوة مطلوبة فقط إذا كانت هذه هي المرة الأولى التي تقوم فيها بإلحاق Exchange Servers/Domain Controllers بنشر عامل Azure Arc معرفة المزيد

2. [الخيار 1] مجموعة سجل إدارة MS Exchange - MS Exchange مسؤول سجلات أحداث التدقيق حسب قواعد جمع البيانات

يتم تجميع سجلات أحداث MS Exchange مسؤول Audit باستخدام قواعد جمع البيانات (DCR) والسماح بتخزين جميع أوامر Cmdlets الإدارية المنفذة في بيئة Exchange.

Dcr

توزيع قواعد جمع البيانات

تمكين قاعدة جمع البيانات Microsoft Exchange مسؤول يتم جمع سجلات أحداث التدقيق فقط من وكلاء Windows.

الخيار 1 - قالب Azure Resource Manager (ARM) (مفضل)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCR.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل اسم مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

A. إنشاء DCR، اكتب سجل الأحداث

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة، وحدد Windows كنوع النظام الأساسي وامنح اسما ل DCR.
  4. في علامة التبويب الموارد ، أدخل خوادم Exchange.
  5. في "التجميع والتسليم"، أضف نوع مصدر البيانات "سجلات أحداث Windows" وحدد خيار "مخصص"، وأدخل "إدارة MSExchange" كتعبير وأضفه.
  6. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. يتم توزيع المحللات تلقائيا مع الحل. اتبع الخطوات لإنشاء الاسم المستعار لوظائف Kusto : ExchangeAdminAuditLogs

يتم توزيع المحللات تلقائيا أثناء نشر الحل. إذا كنت تريد التوزيع يدويا، فاتبع الخطوات أدناه

توزيع المحلل اليدوي

1. تنزيل ملف المحلل

أحدث إصدار من ملف ExchangeAdminAuditLogs

2. إنشاء دالة Parser ExchangeAdminAuditLogs

في مستكشف "السجلات" لتحليلات سجل Microsoft Sentinel، انسخ محتوى الملف إلى مستكشف السجل

3. حفظ دالة Parser ExchangeAdminAuditLogs

انقر فوق زر الحفظ. لا توجد معلمة مطلوبة لهذا المحلل. انقر فوق حفظ مرة أخرى.



سجلات وكيل MICROSOFT Exchange HTTP

مدعوم من قبل:المجتمع

[الخيار 7] - باستخدام عامل Azure Monitor - يمكنك دفق سجلات وكيل HTTP وسجلات أحداث الأمان من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكنك هذا الاتصال من إنشاء تنبيهات مخصصة وتحسين التحقيق. معرفة المزيد

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ExchangeHttpProxy_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure سيتم إهمال Log Analytics: Azure سيتم إهمال Log Analytics، لجمع البيانات من الأجهزة الظاهرية غير Azure، يوصى Azure Arc. معرفة المزيد
  • الوثائق التفصيلية: >ملاحظة: يمكن العثور على وثائق مفصلة حول إجراء التثبيت والاستخدام هنا

إرشادات الإعداد:

ملاحظه: يعتمد هذا الحل على الخيارات. يسمح لك هذا باختيار البيانات التي سيتم استيعابها حيث يمكن لبعض الخيارات إنشاء حجم كبير جدا من البيانات. اعتمادا على ما تريد جمعه، يمكنك تعقب المصنفات وقواعد التحليلات وقدرات التتبع التي ستختار الخيار (الخيارات) التي ستنشرها. كل خيارات مستقلة عن الأخرى. لمعرفة المزيد حول كل خيار: "أمان Microsoft Exchange" wiki

موصل البيانات هذا هو الخيار 7 من wiki.

1. قم بتنزيل وتثبيت العوامل اللازمة لجمع السجلات Microsoft Sentinel

يعتمد نوع الخوادم (خوادم Exchange أو وحدات التحكم بالمجال المرتبطة بخوادم Exchange أو جميع وحدات التحكم بالمجال) على الخيار الذي تريد نشره.

توزيع عوامل المراقبة

هذه الخطوة مطلوبة فقط إذا كانت هذه هي المرة الأولى التي تقوم فيها بإلحاق Exchange Servers/Domain Controllers بنشر عامل Azure Arc معرفة المزيد

2. [الخيار 7] وكيل HTTP لخوادم Exchange

حدد كيفية دفق وكيل HTTP لخوادم Exchange

قواعد جمع البيانات - عند استخدام عامل Azure Monitor

يتم تجميع تمكين قاعدة جمع البيانات تعقب الرسائل فقط من وكلاء Windows .

الخيار 1 - قالب Azure Resource Manager (ARM) (الأسلوب المفضل)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCE وDCR.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. يمكنك تغيير الاسم المقترح ل DCE.

  4. انقر فوق إنشاء للنشر.

ب. توزيع قاعدة اتصال البيانات

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

إنشاء جدول مخصص - شرح

لا يمكن إنشاء الجدول المخصص باستخدام مدخل Azure. تحتاج إلى استخدام قالب ARM أو برنامج نصي PowerShell أو طريقة أخرى موضحة هنا.

إنشاء جدول مخصص باستخدام قالب ARM

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع واسم مساحة العمل التحليلية.

  3. انقر فوق إنشاء للنشر.

إنشاء جدول مخصص باستخدام PowerShell في Cloud Shell

  1. من مدخل Azure، افتح Cloud Shell.
  2. انسخ البرنامج النصي التالي والصقه ونفذه في Cloud Shell لإنشاء الجدول. $tableParams = @' { "properties": { "schema": { "name": "ExchangeHttpProxy_CL", "columns": [ { "name": "AccountForestLatencyBreakup", "type": "string" }, { "name": "ActivityContextLifeTime", "type": "string" }, { "name": "ADLatency", "type": "string" }, { "name": "AnchorMailbox", "type": "string" }, { "name": "AuthenticatedUser", "type": "string" }, { "name": "AuthenticationType", "type": "string" }, { "name": "AuthModulePerfContext", "type": "string" }, { "name": "BackEndCookie", "type": "string" }, { "name": "BackEndGenericInfo", "type": "string" }, { "name": "BackendProcessingLatency", "type": "string" }, { "name": "BackendReqInitLatency", "type": "string" }, { "name": "BackendReqStreamLatency", "type": "string" }, { "name": "BackendRespInitLatency", "type": "string" }, { "name": "BackendRespStreamLatency", "type": "string" }, { "name": "BackEndStatus", "type": "string" }, { "name": "BuildVersion", "type": "string" }, { "name": "CalculateTargetBackEndLatency", "type": "سلسلة" }، { "name": "ClientIpAddress"، "type": "string" }, { "name": "ClientReqStreamLatency", "type": "string" }, { "name": "ClientRequestId", "type": "string" }, { "name": "ClientRespStreamLatency", "type": "string" }, { "name": "CoreLatency", "type": "string" }, { "name": "DatabaseGuid", "type": "string" }, { "name": "EdgeTraceId", "type": "string" }, { "name": "ErrorCode", "type": "string" }, { "name": "GenericErrors", "type": "string" }, { "name": "GenericInfo", "type": "string" }, { "الاسم": "GlsLatencyBreakup"، "type": "string" }, { "name": "HandlerCompletionLatency", "type": "string" }, { "name": "HandlerToModuleSwitchingLatency", "type": "string" }, { "name": "HttpPipelineLatency", "type": "string" }, { "name": "HttpProxyOverhead", "type": "string" }, { "name": "HttpStatus", "type": "string" }, { "name": "IsAuthenticated", "type": "string" }, { "name": "KerberosAuthHeaderLatency", "type": "string" }, { "name": "MajorVersion", "type": "string" }, { "name": "Method", "type": "string" }, { "name": "MinorVersion", "type": "string" }, { "name": "ModuleToHandlerSwitchingLatency", "type": "string" }, { "name": "Organization", "type": "string" }, { "name": "PartitionEndpointLookupLatency", "type": "string" }, { "name": "Protocol", "type": "string" }, { "name": "ProtocolAction", "type": "string" }, { "name": "ProxyAction", "type": "string" }, { "name": "ProxyTime", "type": "string" }, { "name": "RequestBytes", "type": "string" }, { "name": "RequestHandlerLatency", "type": "string" }، { "name": "RequestId", "type": "string" }, { "name": "ResourceForestLatencyBreakup", "type": "string" }, { "name": "ResponseBytes", "type": "string" }, { "name": "RevisionVersion", "type": "string" }, { "name": "RouteRefresherLatency", "type": "string" }, { "name": "RoutingHint", "type": "string" }, { "name": "RoutingLatency", "type": "string" }, { "name": "RoutingStatus", "type": "string" }, { "name": "RoutingType", "type": "string" }, { "name": "ServerHostName", "type": "string" }, { "name": "ServerLocatorHost", "type": "string" }, { "name": "ServerLocatorLatency", "type": "string" }, { "name": "SharedCacheLatencyBreakup", "type": "string" }, { "name": "TargetOutstandingRequests", "type": "string" }, { "name": "TargetServer", "type": "string" }, { "name": "TargetServerVersion", "type": "string" }, { "name": "TotalAccountForestLatency", "type": "string" }, { "name": "TotalGlsLatency", "type": "string" }, { "name": "TotalRequestTime", "type": "string" }, { "name": "TotalResourceForestLatency", "type": "string" }, { "name": "TotalSharedCacheLatency", "type": "string" }, { "name": "UrlHost", "type": "string" }, { "name": "UrlQuery", "type": "string" }, { "name": "UrlStem", "type": "string" }, { "name": "UserADObjectGuid", "type": "string" }, { "name": "UserAgent", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "FilePath", "type": "string" } ] } } ' @
  3. انسخ المعلمات التالية واستبدلها والصقها ونفذها بقيمك الخاصة: $SubscriptionID = "YourGUID" $ResourceGroupName = "YourResourceGroupName" $WorkspaceName = "YourWorkspaceName"
  4. قم بتنفيذ Cmdlet التالي لإنشاء الجدول: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. من مدخل Azure، انتقل إلى نقطة نهاية تجميع البيانات Azure.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة وامنح اسما ل DCE.
  4. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

ب. إنشاء DCR، اكتب سجل مخصص

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. انقر فوق الزر "إنشاء".
  3. في علامة التبويب "Basics"، املأ اسم القاعدة مثل DCR-Option7-HTTPProxyLogs، وحدد "Data Collection Endpoint" بنقطة النهاية التي تم إنشاؤها مسبقا واملأ المعلمات الأخرى.
  4. في علامة التبويب الموارد ، أضف خوادم Exchange.
  5. في التجميع والتسليم، أضف نوع مصدر البيانات "سجلات النص المخصص" وأدخل نمط الملف التالي: "C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log"،"C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log"،"C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\2Ews*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
  6. ضع "ExchangeHttpProxy_CL" في اسم الجدول.
  7. في حقل Transform، أدخل طلب KQL التالي : source | توسيع d = split(RawData,',') | توسيع DateTime=todatetime(d[0]),RequestId=tostring(d[1]) ,MajorVersion=tostring(d[2]) ,MinorVersion=tostring(d[3]) )، BuildVersion=tostring(d[4]) ,RevisionVersion=tostring(d[5]) ,ClientRequestId=tostring(d[6]) ,Protocol=tostring (d[7]) ,UrlHost=tostring(d[8]) ,UrlStem=tostring(d[9]) ,ProtocolAction=tostring(d[10]) ,, AuthenticationType=tostring(d[11]) ,IsAuthenticated=tostring(d[12]) ,AuthenticatedUser=tostring(d[13]) , Organization=tostring(d[14]) ,AnchorMailbox=tostring(d[15]) ,UserAgent=tostring(d[16]) ,ClientIpAddress=tostring(d[[) 17]) ,ServerHostName=tostring(d[18]) ,HttpStatus=tostring(d[19]) ,BackEndStatus=tostring(d[20]) ,ErrorCode=tostring(d[21]) ,Method=tostring(d[22]) ,ProxyAction=tostring(d[23]) ,TargetServer=tostring(d[2 4]) ,TargetServerVersion=tostring(d[25]) ,RoutingType=tostring(d[26]) ,RoutingHint=tostring(d[27]) , BackEndCookie=tostring(d[28]) ,ServerLocatorHost=tostring(d[29]) ,ServerLocatorLatency=tostring(d[30]) ,RequestBytes =tostring(d[31]) ,ResponseBytes=tostring(d[32]) ,TargetOutstandingRequests=tostring(d[33]) ,AuthModulePerfContext=tostring(d[34]) ,HttpPipelineLatency=tostring(d[35]) ,CalculateTargetBackEndLatency=tostring(d[36]) ,GlsLatencyBreakup=tostring(d[37]) ,TotalGlsLatency=tostring(d[38]) ,AccountForestLatencyBreakup=tostring(d[39]) , TotalAccountForestLatency=tostring(d[40]) ,ResourceForestLatencyBreakup=tostring(d[41]) ,TotalResourceForestLatency=tostring(d[[ 42]) ,ADLatency=tostring(d[43]) ,SharedCacheLatencyBreakup=tostring(d[44]) ,TotalSharedCacheLatency=tostring(d[45]) ,ActivityContextLifeTime=tostring(d[46]) ,ModuleToHandlerSwitchingLatency=tostring(d[47]) ,ClientReqStreamLatency =tostring(d[48]) ,BackendReqInitLatency=tostring(d[49]) ,BackendReqStreamLatency=tostring(d[50]) , BackendProcessingLatency=tostring(d[51]) ,BackendRespInitLatency=tostring(d[52]) ,BackendRespStreamLatency=tostring(d[53]) ،ClientRespStreamLatency=tostring(d[54]) ,KerberosAuthHeaderLatency=tostring(d[55]) ,HandlerCompletionLatency=tostring(d[25])56]) ,RequestHandlerLatency=tostring(d[57]) ,HandlerToModuleSwitchingLatency=tostring(d[58]) ,ProxyTime=tostring(d[5 9]) ,CoreLatency=tostring(d[60]) ,RoutingLatency=tostring(d[61]) ,HttpProxyOverhead=tostring(d[62]) , TotalRequestTime=tostring(d[63]) ,RouteRefresherLatency=tostring(d[64]) ,UrlQuery=tostring(d[65]) ,BackEndGenericInfo=tostring(d[66]) ,GenericInfo=tostring(d[67]) ,GenericErrors=tostring(d[] 68]) ,EdgeTraceId=tostring(d[69]) ,DatabaseGuid=tostring(d[70]) ,UserADObjectGuid=tostring(d[71]) ,PartitionEndpointLookupLatency=tostring(d[72]) ,RoutingStatus=tostring(d[73]) | توسيع TimeGenerated = DateTime | project-away d,RawData,DateTime | project-away d,RawData,DateTime وانقر على 'Destination'.
  8. في "الوجهة"، أضف وجهة وحدد مساحة العمل حيث قمت مسبقا بإنشاء الجدول المخصص
  9. انقر فوق "إضافة مصدر بيانات".
  10. املأ المعلمات والعلامات المطلوبة الأخرى وأنشئ DCR

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR



سجلات وأحداث Microsoft Exchange

مدعوم من قبل:المجتمع

[الخيار 2] - باستخدام عامل Azure Monitor - يمكنك دفق جميع سجلات أحداث التطبيق & أمان Exchange من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكنك هذا الاتصال من إنشاء تنبيهات مخصصة وتحسين التحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Event نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure سيتم إهمال Log Analytics: Azure سيتم إهمال Log Analytics، لجمع البيانات من الأجهزة الظاهرية غير Azure، يوصى Azure Arc. معرفة المزيد
  • الوثائق التفصيلية: >ملاحظة: يمكن العثور على وثائق مفصلة حول إجراء التثبيت والاستخدام هنا

إرشادات الإعداد:

ملاحظه: يعتمد هذا الحل على الخيارات. يسمح لك هذا باختيار البيانات التي سيتم استيعابها حيث يمكن لبعض الخيارات إنشاء حجم كبير جدا من البيانات. اعتمادا على ما تريد جمعه، يمكنك تعقب المصنفات وقواعد التحليلات وقدرات التتبع التي ستختار الخيار (الخيارات) التي ستنشرها. كل خيارات مستقلة عن الأخرى. لمعرفة المزيد حول كل خيار: "أمان Microsoft Exchange" wiki

موصل البيانات هذا هو الخيار 2 من wiki.

1. قم بتنزيل وتثبيت العوامل اللازمة لجمع السجلات Microsoft Sentinel

يعتمد نوع الخوادم (خوادم Exchange أو وحدات التحكم بالمجال المرتبطة بخوادم Exchange أو جميع وحدات التحكم بالمجال) على الخيار الذي تريد نشره.

توزيع عوامل المراقبة

هذه الخطوة مطلوبة فقط إذا كانت هذه هي المرة الأولى التي تقوم فيها بإلحاق Exchange Servers/Domain Controllers بنشر عامل Azure Arc معرفة المزيد

2. [الخيار 2] سجلات الأمان/التطبيق/النظام لخوادم Exchange

يتم جمع سجلات الأمان/التطبيق/النظام لخوادم Exchange باستخدام قواعد جمع البيانات (DCR).

مجموعة سجل أحداث الأمان

قواعد جمع البيانات - سجلات أحداث الأمان

تمكين قاعدة جمع البيانات لسجلات أحداث أمان سجلات الأمان يتم جمعها فقط من وكلاء Windows .

  1. إضافة خوادم Exchange على علامة التبويب الموارد .
  2. حدد مستوى سجل الأمان

المستوى الشائع هو الحد الأدنى المطلوب. الرجاء تحديد "Common" أو "All Security Events" في تعريف DCR.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

مجموعة سجل أحداث التطبيق والنظام

تمكين قاعدة جمع البيانات

يتم جمع سجلات أحداث التطبيق والنظام فقط من وكلاء Windows .

الخيار 1 - قالب Azure Resource Manager (ARM) (الأسلوب المفضل)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCR.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل اسم مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

A. إنشاء DCR، اكتب سجل الأحداث

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة، وحدد Windows كنوع النظام الأساسي وامنح اسما ل DCR.
  4. في علامة التبويب الموارد ، أدخل خوادم Exchange.
  5. في "التجميع والتسليم"، أضف نوع مصدر البيانات "سجلات أحداث Windows" وحدد الخيار "أساسي".
  6. بالنسبة للتطبيق، حدد "حرج" و"خطأ" و"تحذير". بالنسبة للنظام، حدد Critical/Error/Warning/Information.
  7. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR



Microsoft Exchange Message Tracking Logs

مدعوم من قبل:المجتمع

[الخيار 6] - باستخدام عامل Azure Monitor - يمكنك دفق جميع Exchange Message Tracking من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكن استخدام هذه السجلات لتتبع تدفق الرسائل في بيئة Exchange. يستند موصل البيانات هذا إلى الخيار 6 من موقع wiki لأمان Microsoft Exchange.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
MessageTrackingLog_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure سيتم إهمال Log Analytics: Azure سيتم إهمال Log Analytics، لجمع البيانات من الأجهزة الظاهرية غير Azure، يوصى Azure Arc. معرفة المزيد
  • الوثائق التفصيلية: >ملاحظة: يمكن العثور على وثائق مفصلة حول إجراء التثبيت والاستخدام هنا

إرشادات الإعداد:

ملاحظه: يعتمد هذا الحل على الخيارات. يسمح لك هذا باختيار البيانات التي سيتم استيعابها حيث يمكن لبعض الخيارات إنشاء حجم كبير جدا من البيانات. اعتمادا على ما تريد جمعه، يمكنك تعقب المصنفات وقواعد التحليلات وقدرات التتبع التي ستختار الخيار (الخيارات) التي ستنشرها. كل خيارات مستقلة عن الأخرى. لمعرفة المزيد حول كل خيار: "أمان Microsoft Exchange" wiki

موصل البيانات هذا هو الخيار 6 من wiki.

1. قم بتنزيل وتثبيت العوامل اللازمة لجمع السجلات Microsoft Sentinel

يعتمد نوع الخوادم (خوادم Exchange أو وحدات التحكم بالمجال المرتبطة بخوادم Exchange أو جميع وحدات التحكم بالمجال) على الخيار الذي تريد نشره.

توزيع عوامل المراقبة

هذه الخطوة مطلوبة فقط إذا كانت هذه هي المرة الأولى التي تقوم فيها بإلحاق Exchange Servers/Domain Controllers بنشر عامل Azure Arc معرفة المزيد

2. تعقب الرسائل لخوادم Exchange

حدد كيفية دفق تعقب الرسائل لخوادم Exchange

قواعد جمع البيانات - عند استخدام عامل Azure Monitor

يتم تجميع تمكين قاعدة جمع البيانات تعقب الرسائل فقط من وكلاء Windows .

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCE وDCR.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. يمكنك تغيير الاسم المقترح ل DCE.

  4. انقر فوق إنشاء للنشر.

ب. توزيع قاعدة اتصال البيانات والجدول المخصص

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

إنشاء جدول مخصص - شرح

لا يمكن إنشاء الجدول المخصص باستخدام مدخل Azure. تحتاج إلى استخدام قالب ARM أو برنامج نصي PowerShell أو طريقة أخرى موضحة هنا.

إنشاء جدول مخصص باستخدام قالب ARM

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع واسم مساحة العمل التحليلية.

  3. انقر فوق إنشاء للنشر.

إنشاء جدول مخصص باستخدام PowerShell في Cloud Shell

  1. من مدخل Azure، افتح Cloud Shell.
  2. انسخ البرنامج النصي التالي والصقه ونفذه في Cloud Shell لإنشاء الجدول. $tableParams = @' { "properties": { "schema": { "name": "MessageTrackingLog_CL"، "الأعمدة": [ { "name": "directionality", "type": "string" }, { "name": "reference", "type": "string" }, { "name": "source", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "clientHostname", "type": "string" }, { "name": "clientIP", "type": "string" }, { "name": "connectorId", "type": "string" }, { "name": "customData", "type": "string" }, { "name": "eventId", "type": "string" }, { "name": "internalMessageId"، "type": "string" }, { "name": "logId", "type": "string" }, { "name": "messageId", "type": "string" }, { "name": "messageInfo", "type": "string" }, { "name": "messageSubject", "type": "string" }, { "name": "networkMessageId", "type": "string" }, { "name": "originalClientIp", "type": "string" }, { "name": "originalServerIp", "type": "string" }, { "name": "recipientAddress", "type": "string" }, { "name": "recipientCount", "type": "string" }, { "name": "حالة المستلمين"، "type": "string" }, { "name": "relatedRecipientAddress", "type": "string" }, { "name": "returnPath", "type": "string" }, { "name": "senderAddress", "type": "string" }, { "name": "senderHostname", "type": "string" }, { "name": "serverIp", "type": "string" }, { "name": "sourceContext", "type": "string" }, { "name": "schemaVersion", "type": "string" }, { "name": "messageTrackingTenantId", "type": "string" }, { "name": "totalBytes", "type": "string" }, { "name": "transportTrafficType"، "type": "string" }، { "name": "FilePath"، "type": "string" } ] } } } ' @
  3. انسخ المعلمات التالية واستبدلها والصقها ونفذها بقيمك الخاصة: $SubscriptionID = "YourGUID" $ResourceGroupName = "YourResourceGroupName" $WorkspaceName = "YourWorkspaceName"
  4. قم بتنفيذ Cmdlet التالي لإنشاء الجدول: Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. من مدخل Azure، انتقل إلى نقطة نهاية تجميع البيانات Azure.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة وامنح اسما ل DCE، مثل ESI-ExchangeServers.
  4. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

ب. إنشاء DCR، اكتب سجل مخصص

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. انقر فوق الزر "إنشاء".
  3. في علامة التبويب "Basics"، املأ اسم القاعدة مثل DCR-Option6-MessageTrackingLogs، وحدد "Data Collection Endpoint" بنقطة النهاية التي تم إنشاؤها مسبقا واملأ المعلمات الأخرى.
  4. في علامة التبويب الموارد ، أضف خوادم Exchange.
  5. في تجميع وتسليم، أضف نوع مصدر بيانات "سجلات نص مخصصة" وأدخل "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" في نمط الملف، "MessageTrackingLog_CL" في اسم الجدول. 6.in حقل Transform، أدخل طلب KQL التالي: source | توسيع d = split(RawData,',') | توسيع TimeGenerated =todatetime(d[0]) ,clientIP =tostring(d[1]) ,clientHostname =tostring(d[2]) ,serverIp=tostring(d [3]) ,senderHostname=tostring(d[4]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) ,source =tostring(d[7]) ,eventId =tostring(d[8]) ,internalMessageId =tostring(d[9]) ,messageId =tostring(d[10 ]) ,networkMessageId =tostring(d[11]) ,recipientAddress=tostring(d[12]) ,recipientStatus=tostring(d[13]) , totalBytes=tostring(d[14]) ,recipientCount=tostring(d[15]) ,relatedRecipientAddress=tostring(d[16]) ,reference=tostring(d[17]) ,messageSubject =tostring(d[18]) ,senderAddress=tostring(d[19]) ,returnPath=tostring(d[20]) ,messageInfo =tostring(d[21]) ,directionality=tostring(d[22]) ,messageTrackingTenantId =tostring(d[23]) ,originalClientIp =tostring(d [24]) ,originalServerIp =tostring(d[25]) ,customData=tostring(d[26]) ,transportTrafficType =tostring(d[27]) , logId =tostring(d[28]) ,schemaVersion=tostring(d[29]) | project-away d,RawData وانقر على "Destination".
  6. في "الوجهة"، أضف وجهة وحدد مساحة العمل حيث قمت مسبقا بإنشاء الجدول المخصص
  7. انقر فوق "إضافة مصدر بيانات".
  8. املأ المعلمات والعلامات المطلوبة الأخرى وأنشئ DCR

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR



Microsoft Power Automate

مدعوم من قبل:Microsoft Corporation

Power Automate هي خدمة Microsoft تساعد المستخدمين على إنشاء مهام سير عمل تلقائية بين التطبيقات والخدمات لمزامنة الملفات والحصول على الإعلامات وجمع البيانات والمزيد. فهو يبسط أتمتة المهام، وزيادة الكفاءة من خلال تقليل المهام اليدوية والمتكررة، وتعزيز الإنتاجية. يوفر موصل بيانات Power Automate القدرة على استيعاب سجلات نشاط Power Automate من سجل Microsoft Purview Audit إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
PowerAutomateActivity نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات المستأجر: "مسؤول الأمان" أو "المسؤول العام" على مستأجر مساحة العمل.
  • تدقيق Micorosft Purview: يجب تنشيط Microsoft Purview Audit (Standard أو Premium).

إرشادات الإعداد:

توصيل سجلات تدقيق Microsoft Power Automate Microsoft Sentinel

يستخدم هذا الموصل واجهة برمجة تطبيقات إدارة Office للحصول على سجلات تدقيق Power Automate. سيتم تخزين السجلات ومعالجتها في مساحة عمل Microsoft Sentinel الحالية. يمكنك العثور على البيانات في جدول PowerAutomateActivity .

  • تمكين/تعطيل الاتصال



نشاط مسؤول Microsoft Power Platform

مدعوم من قبل:Microsoft Corporation

Microsoft Power Platform عبارة عن مجموعة منخفضة التعليمات البرمجية/بدون تعليمات برمجية تمكن كل من المطورين المواطنين والمحترفين من تبسيط عمليات الأعمال من خلال تمكين إنشاء تطبيقات مخصصة وأتمتة مهام سير العمل وتحليل البيانات بأقل قدر من الترميز. يوفر موصل بيانات power Platform مسؤول القدرة على استيعاب سجلات نشاط مسؤول Power Platform من سجل Microsoft Purview Audit إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
PowerPlatformAdminActivity نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات المستأجر: "مسؤول الأمان" أو "المسؤول العام" على مستأجر مساحة العمل.
  • تدقيق Micorosft Purview: يجب تنشيط Microsoft Purview Audit (Standard أو Premium).

إرشادات الإعداد:

توصيل سجلات تدقيق نشاط Microsoft Power Platform مسؤول Microsoft Sentinel

يستخدم هذا الموصل واجهة برمجة تطبيقات إدارة Office للحصول على سجلات تدقيق مسؤول Power Platform. سيتم تخزين السجلات ومعالجتها في مساحة عمل Microsoft Sentinel الحالية. يمكنك العثور على البيانات في جدول PowerPlatformAdminActivity .

  • تمكين/تعطيل الاتصال



Microsoft PowerBI

مدعوم من قبل:Microsoft Corporation

Microsoft PowerBI عبارة عن مجموعة من خدمات البرامج والتطبيقات والموصلات التي تعمل معا لتحويل مصادر البيانات غير المرتبطة إلى رؤى متماسكة وغامرة بصريا وتفاعلية. قد تكون بياناتك عبارة عن جدول بيانات Excel أو مجموعة من مستودعات البيانات المختلطة المستندة إلى السحابة والأماكن المحلية أو مخزن بيانات من نوع آخر. يتيح لك هذا الموصل دفق سجلات تدقيق PowerBI إلى Microsoft Sentinel، ما يسمح لك بتعقب أنشطة المستخدم في بيئة PowerBI الخاصة بك. يمكنك تصفية بيانات التدقيق حسب نطاق التاريخ والمستخدم ولوحة المعلومات والتقرير ومجموعة البيانات ونوع النشاط.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
PowerBIActivity نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Project

مدعوم من قبل:Microsoft

Microsoft Project (MSP) هو حل برنامج لإدارة المشاريع. وفقا لخطتك، يتيح لك Microsoft Project تخطيط المشاريع وتعيين المهام وإدارة الموارد وإنشاء التقارير والمزيد. يسمح لك هذا الموصل ببث سجلات تدقيق Azure Project إلى Microsoft Sentinel من أجل تعقب أنشطة المشروع.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ProjectActivity نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Purview

مدعوم من قبل:Microsoft Corporation

اتصل ب Microsoft Purview لتمكين إثراء حساسية البيانات Microsoft Sentinel. يمكن استيعاب سجلات تصنيف البيانات وتسميات الحساسية من عمليات فحص Microsoft Purview وتصورها من خلال المصنفات والقواعد التحليلية والمزيد. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
PurviewDataSensitivityLogs نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل Microsoft Purview Microsoft Sentinel

ضمن مدخل Azure، انتقل إلى مورد Purview الخاص بك:

  1. في شريط البحث، ابحث عن حسابات Purview.
  2. حدد الحساب المحدد الذي ترغب في إعداده باستخدام Sentinel.

داخل مورد Microsoft Purview: 3. حدد Diagnostic Settings. 4. حدد + Add diagnostic setting. 5. في شفرة إعداد التشخيص :

  • حدد فئة السجل ك DataSensitivityLogEvent.
  • حدد إرسال إلى Log Analytics.
  • اختر مساحة عمل وجهة السجل. يجب أن تكون هذه هي نفس مساحة العمل التي يستخدمها Microsoft Sentinel.
  • انقر فوق حفظ.



حماية البيانات في Microsoft Purview

مدعوم من قبل:Microsoft Corporation

يساعدك حماية البيانات في Microsoft Purview على اكتشاف المعلومات الحساسة وتصنيفها وحمايتها والتحكم فيها أينما كانت أو تنتقل. يتيح لك استخدام هذه الإمكانات معرفة بياناتك وتحديد العناصر الحساسة واكتساب رؤية حول كيفية استخدامها لحماية بياناتك بشكل أفضل. أوصاف الحساسية هي القدرة الأساسية التي توفر إجراءات الحماية وتطبيق التشفير وقيود الوصول والعلامات المرئية. دمج سجلات حماية البيانات في Microsoft Purview مع Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
MicrosoftPurviewInformationProtection نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

تدقيق Mimecast

مدعوم من قبل:Mimecast

يوفر موصل البيانات ل Mimecast Audit للعملاء إمكانية الرؤية في أحداث الأمان المتعلقة بأحداث التدقيق والمصادقة داخل Microsoft Sentinel. يوفر موصل البيانات لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على نشاط المستخدم، والمساعدة في ارتباط الحادث وتقليل أوقات استجابة التحقيق إلى جانب قدرات التنبيه المخصصة.
منتجات Mimecast المضمنة داخل الموصل هي: Audit

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Audit_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في Microsoft Entra ID وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على مرجع Rest API

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

تكوين:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Mimecast

انتقل إلى مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> سر عميل جديد وإنشاء سر جديد (احفظ القيمة في مكان آمن على الفور لأنك لن تتمكن من معاينتها لاحقا)

الخطوة 2 - توزيع موصل واجهة برمجة تطبيقات Mimecast

الهامه: قبل نشر موصل Mimecast API، يكون لديك مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، متوفرا بسهولة.

الخطوة 3 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ موصل بيانات TenableVM.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 4 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ موصل بيانات TenableVM. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ TenableVM Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 5 - الحصول على معرف العنصر للتطبيق الخاص بك في Microsoft Entra ID

بعد إنشاء تسجيل التطبيق، اتبع الخطوات الواردة في هذا القسم للحصول على معرف العنصر:

  1. انتقل إلى Microsoft Entra ID.
  2. حدد Enterprise applications من القائمة اليسرى.
  3. ابحث عن التطبيق الذي تم إنشاؤه حديثا في القائمة (يمكنك البحث حسب الاسم الذي قدمته).
  4. انقر على التطبيق.
  5. في صفحة النظرة العامة، انسخ معرف الكائن. هذا هو AzureEntraObjectId المطلوب لتعيين دور قالب ARM.

توزيع موصل بيانات تدقيق Mimecast:

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات تدقيق Mimecast.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

  3. أدخل المعلومات أدناه:

    أ. الموقع - الموقع الذي يجب نشر قواعد جمع البيانات ونقاط نهاية جمع البيانات فيه

    ب. WorkspaceName - أدخل اسم مساحة عمل Microsoft Sentinel لمساحة عمل Log Analytics

    ج. AzureClientID - أدخل Azure معرف العميل الذي قمت بإنشائه أثناء تسجيل التطبيق

    د. AzureClientSecret - أدخل Azure سر العميل الذي قمت بإنشائه أثناء إنشاء سر العميل

    ه. AzureTenantID - أدخل معرف المستأجر Azure Azure Active Directory

    و. AzureEntraObjectID - أدخل معرف العنصر لتطبيق Microsoft Entra

    ز. MimecastBaseURL - أدخل عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast 2.0 (على سبيل المثال https://api.services.mimecast.com)

    ح. MimecastClientID - أدخل معرف عميل Mimecast للمصادقة

    i. MimecastClientSecret - أدخل سر عميل Mimecast للمصادقة

    ي. MimecastAuditTableName - أدخل اسم الجدول المستخدم لتخزين بيانات التدقيق. الافتراضي هو "التدقيق"

    ك. StartDate - أدخل تاريخ البدء بتنسيق "yyyy-mm-dd". إذا لم تقدم تاريخا، فسيتم إحضار البيانات من آخر 60 يوما تلقائيا. تأكد من أن التاريخ في الماضي ومنسق بشكل صحيح

    l. الجدول الزمني - الرجاء إدخال تعبير cron-expression صالح في Quartz. (مثال: 0 0 */1 * * *) لا تبقي القيمة فارغة، الحد الأدنى للقيمة هو 10 دقائق

    م. LogLevel - يرجى إضافة مستوى السجل أو قيمة خطورة السجل. بشكل افتراضي، يتم تعيينه إلى INFO

    ن. AppInsightsWorkspaceResourceId - ترحيل Application Insights الكلاسيكي إلى مساحة عمل Log Analytic التي سيتم إيقافها بحلول 29 فبراير 2024. استخدم شفرة "Log Analytic Workspace-->Properties" التي تحتوي على قيمة خاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.



مصادقة & تدقيق Mimecast (باستخدام وظائف Azure)

مدعوم من قبل:Mimecast

يوفر موصل البيانات لمصادقة تدقيق Mimecast & للعملاء إمكانية الرؤية في أحداث الأمان المتعلقة بأحداث التدقيق والمصادقة داخل Microsoft Sentinel. يوفر موصل البيانات لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على نشاط المستخدم، والمساعدة في ارتباط الحادث وتقليل أوقات استجابة التحقيق إلى جانب قدرات التنبيه المخصصة.
منتجات Mimecast المضمنة داخل الموصل هي: تدقيق مصادقة &

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
MimecastAudit_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد واجهة برمجة تطبيقات Mimecast: تحتاج إلى الحصول على أجزاء المعلومات التالية لتكوين التكامل:
  • mimecastEmail: عنوان البريد الإلكتروني لمستخدم مسؤول Mimecast مخصص
  • mimecastPassword: كلمة المرور لمستخدم مسؤول Mimecast المخصص
  • mimecastAppId: معرف تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم مسؤول Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم مسؤول Mimecast المخصص
  • mimecastBaseURL: عنوان URL لقاعدة Mimecast الإقليمية لواجهة برمجة التطبيقات

يمكن الحصول على معرف تطبيق Mimecast ومفتاح التطبيق، جنبا إلى جنب مع مفتاح الوصول والمفاتيح السرية لمستخدم مسؤول Mimecast المخصص عبر وحدة تحكم إدارة Mimecast: الإدارة | الخدمات | تكاملات واجهة برمجة التطبيقات والنظام الأساسي.

يتم توثيق عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast لكل منطقة هنا: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • مجموعة الموارد: تحتاج إلى إنشاء مجموعة موارد باشتراك ستستخدمه.
  • تطبيق الوظائف: تحتاج إلى تسجيل تطبيق Azure لهذا الموصل لاستخدامه
  1. معرف التطبيق
  2. معرف المستأجر
  3. معرف العميل
  4. سر العميل

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

تكوين:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Mimecast

انتقل إلى مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> سر عميل جديد وإنشاء سر جديد (احفظ القيمة في مكان آمن على الفور لأنك لن تتمكن من معاينتها لاحقا)

الخطوة 2 - توزيع موصل واجهة برمجة تطبيقات Mimecast

الهامه: قبل نشر موصل Mimecast API، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، متاح بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

توزيع موصل بيانات مصادقة تدقيق Mimecast &:

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل الحقول التالية:

  • appName: سلسلة فريدة سيتم استخدامها كمعرف للتطبيق في النظام الأساسي Azure
  • objectId: مدخل Azure ---> Azure Active Directory ---> مزيد من المعلومات ---> Profile -----> Object ID
  • appInsightsLocation(default): westeurope
  • mimecastEmail: عنوان البريد الإلكتروني للمستخدم المخصص لهذه الجاذبية
  • mimecastPassword: كلمة المرور للمستخدم المخصص
  • mimecastAppId: معرف التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم Mimecast المخصص
  • mimecastBaseURL: عنوان URL الإقليمي لواجهة برمجة تطبيقات Mimecast
  • activeDirectoryAppId: مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> Application ID
  • activeDirectoryAppSecret: مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> [your_app_secret]
  • workspaceId: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> معرف مساحة العمل (أو يمكنك نسخ workspaceId من الأعلى)
  • workspaceKey: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> Primary Key (أو يمكنك نسخ workspaceKey من الأعلى)
  • AppInsightsWorkspaceResourceID: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Properties ---> Resource ID

ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.

  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  2. انقر فوق شراء للنشر.

  3. انتقل إلى مدخل Azure ---> مجموعات الموارد ---> [your_resource_group] ---> [appName](type: Storage account) ---> Storage Explorer ---> BLOB CONTAINERS ---> تدقيق نقاط التحقق ---> تحميل وإنشاء ملف فارغ على جهازك المسمى checkpoint.txt وتحديده للتحميل (يتم ذلك بحيث يتم تخزين date_range لسجلات SIEM في حالة متناسقة)



Mimecast Awareness Training

مدعوم من قبل:Mimecast

يوفر موصل البيانات لتدريب Mimecast Awareness للعملاء إمكانية الرؤية في أحداث الأمان المتعلقة بتقنيات فحص الحماية من التهديدات المستهدفة داخل Microsoft Sentinel. يوفر موصل البيانات لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على التهديدات المستندة إلى البريد الإلكتروني، والمساعدة في ارتباط الحادث وتقليل أوقات استجابة التحقيق إلى جانب قدرات التنبيه المخصصة.
منتجات Mimecast المضمنة داخل الموصل هي:

  • تفاصيل الأداء
  • تفاصيل النتيجة الآمنة
  • بيانات المستخدم
  • تفاصيل قائمة المشاهدة

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Awareness_Performance_Details_CL نعم نعم
Awareness_SafeScore_Details_CL نعم نعم
Awareness_User_Data_CL نعم نعم
Awareness_Watchlist_Details_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في Microsoft Entra ID وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على مرجع Rest API

إرشادات الإعداد:

مجموعة الموارد

يجب أن يكون لديك مجموعة موارد تم إنشاؤها باستخدام اشتراك ستستخدمه.

تطبيق الوظائف

يجب أن يكون لديك تطبيق Azure مسجل لاستخدام هذا الموصل

  1. معرف التطبيق
  2. معرف المستأجر
  3. معرف العميل
  4. سر العميل
  5. معرف عنصر Entra

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ Mimecast Data Connector.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 2 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ Mimecast Data Connector. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ Mimecast Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 3 - الحصول على معرف العنصر للتطبيق الخاص بك في Microsoft Entra ID

بعد إنشاء تسجيل التطبيق، اتبع الخطوات الواردة في هذا القسم للحصول على معرف العنصر:

  1. انتقل إلى Microsoft Entra ID.
  2. حدد Enterprise applications من القائمة اليسرى.
  3. ابحث عن التطبيق الذي تم إنشاؤه حديثا في القائمة (يمكنك البحث حسب الاسم الذي قدمته).
  4. انقر على التطبيق.
  5. في صفحة النظرة العامة، انسخ معرف الكائن. هذا هو AzureEntraObjectId المطلوب لتعيين دور قالب ARM.

الخطوة 4 - توزيع موصل واجهة برمجة تطبيقات Mimecast

الهامه: قبل نشر موصل Mimecast API، يكون لديك مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، متوفرا بسهولة.

قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات تدريب Mimecast Awareness.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

  3. أدخل المعلومات أدناه:

    أ. الموقع - الموقع الذي يجب نشر قواعد جمع البيانات ونقاط نهاية جمع البيانات فيه

    ب. WorkspaceName - أدخل اسم مساحة عمل Microsoft Sentinel لمساحة عمل Log Analytics

    ج. AzureClientID - أدخل Azure معرف العميل الذي قمت بإنشائه أثناء تسجيل التطبيق

    د. AzureClientSecret - أدخل Azure سر العميل الذي قمت بإنشائه أثناء إنشاء سر العميل

    ه. AzureTenantID - أدخل معرف المستأجر Azure Azure Active Directory

    و. AzureEntraObjectID - أدخل معرف العنصر لتطبيق Microsoft Entra

    ز. MimecastBaseURL - أدخل عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast 2.0 (على سبيل المثال https://api.services.mimecast.com)

    ح. MimecastClientID - أدخل معرف عميل Mimecast للمصادقة

    i. MimecastClientSecret - أدخل سر عميل Mimecast للمصادقة

    ي. MimecastAwarenessPerformanceDetailsTableName - أدخل اسم الجدول المستخدم لتخزين بيانات تفاصيل أداء الوعي. الافتراضي هو "Awareness_Performance_Details"

    ك. MimecastAwarenessUserDataTableName - أدخل اسم الجدول المستخدم لتخزين بيانات مستخدم التوعية. الافتراضي هو "Awareness_User_Data"

    l. MimecastAwarenessWatchlistDetailsTableName - أدخل اسم الجدول المستخدم لتخزين بيانات تفاصيل قائمة مراقبة الوعي. الافتراضي هو "Awareness_Watchlist_Details"

    م. MimecastAwarenessSafeScoreDetailsTableName - أدخل اسم الجدول المستخدم لتخزين بيانات Awareness SafeScore Details. الافتراضي هو "Awareness_SafeScore_Details"

    ن. StartDate - أدخل تاريخ البدء بتنسيق "yyyy-mm-dd". إذا لم تقدم تاريخا، فسيتم إحضار البيانات من آخر 60 يوما تلقائيا. تأكد من أن التاريخ في الماضي ومنسق بشكل صحيح

    يا. الجدول الزمني - الرجاء إدخال تعبير cron-expression صالح في Quartz. (مثال: 0 0 */1 * * *) لا تبقي القيمة فارغة، الحد الأدنى للقيمة هو 10 دقائق

    ف. LogLevel - يرجى إضافة مستوى السجل أو قيمة خطورة السجل. بشكل افتراضي، يتم تعيينه إلى INFO

    س. AppInsightsWorkspaceResourceId - ترحيل Application Insights الكلاسيكي إلى مساحة عمل Log Analytic التي سيتم إيقافها بحلول 29 فبراير 2024. استخدم شفرة "Log Analytic Workspace-->Properties" التي تحتوي على قيمة خاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.



Mimecast Cloud Integrated

مدعوم من قبل:Mimecast

يوفر موصل البيانات ل Mimecast Cloud Integrated للعملاء إمكانية الرؤية في أحداث الأمان المتعلقة بتقنيات الفحص المتكامل السحابي داخل Microsoft Sentinel. يوفر موصل البيانات لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على التهديدات المستندة إلى البريد الإلكتروني، والمساعدة في ارتباط الحادث وتقليل أوقات استجابة التحقيق إلى جانب قدرات التنبيه المخصصة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Cloud_Integrated_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في Microsoft Entra ID وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على مرجع Rest API

إرشادات الإعداد:

مجموعة الموارد

يجب أن يكون لديك مجموعة موارد تم إنشاؤها باستخدام اشتراك ستستخدمه.

تطبيق الوظائف

يجب أن يكون لديك تطبيق Azure مسجل لاستخدام هذا الموصل

  1. معرف التطبيق
  2. معرف المستأجر
  3. معرف العميل
  4. سر العميل

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

تكوين:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Mimecast

انتقل إلى مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> سر عميل جديد وإنشاء سر جديد (احفظ القيمة في مكان آمن على الفور لأنك لن تتمكن من معاينتها لاحقا)

الخطوة 2 - توزيع موصل واجهة برمجة تطبيقات Mimecast

الهامه: قبل نشر موصل Mimecast API، يكون لديك مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، متوفرا بسهولة.

الخطوة 3 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ موصل بيانات TenableVM.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 4 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ موصل بيانات TenableVM. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ TenableVM Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 5 - الحصول على معرف العنصر للتطبيق الخاص بك في Microsoft Entra ID

بعد إنشاء تسجيل التطبيق، اتبع الخطوات الواردة في هذا القسم للحصول على معرف العنصر:

  1. انتقل إلى Microsoft Entra ID.
  2. حدد Enterprise applications من القائمة اليسرى.
  3. ابحث عن التطبيق الذي تم إنشاؤه حديثا في القائمة (يمكنك البحث حسب الاسم الذي قدمته).
  4. انقر على التطبيق.
  5. في صفحة النظرة العامة، انسخ معرف الكائن. هذا هو AzureEntraObjectId المطلوب لتعيين دور قالب ARM.

قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل البيانات المتكاملة ل Mimecast Cloud.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

  3. أدخل المعلومات أدناه:

    أ. الموقع - الموقع الذي يجب نشر قواعد جمع البيانات ونقاط نهاية جمع البيانات فيه

    ب. WorkspaceName - أدخل اسم مساحة عمل Microsoft Sentinel لمساحة عمل Log Analytics

    ج. AzureClientID - أدخل Azure معرف العميل الذي قمت بإنشائه أثناء تسجيل التطبيق

    د. AzureClientSecret - أدخل Azure سر العميل الذي قمت بإنشائه أثناء إنشاء سر العميل

    ه. AzureTenantID - أدخل معرف المستأجر Azure Azure Active Directory

    و. AzureEntraObjectID - أدخل معرف العنصر لتطبيق Microsoft Entra

    ز. MimecastBaseURL - أدخل عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast 2.0 (على سبيل المثال https://api.services.mimecast.com)

    ح. MimecastClientID - أدخل معرف عميل Mimecast للمصادقة

    i. MimecastClientSecret - أدخل سر عميل Mimecast للمصادقة

    ي. MimecastCITableName - أدخل اسم الجدول المستخدم لتخزين البيانات المتكاملة السحابية. الافتراضي هو "Cloud_Integrated"

    ك. StartDate - أدخل تاريخ البدء بتنسيق "yyyy-mm-dd". إذا لم تقدم تاريخا، فسيتم إحضار البيانات من آخر 60 يوما تلقائيا. تأكد من أن التاريخ في الماضي ومنسق بشكل صحيح

    l. الجدول الزمني - الرجاء إدخال تعبير cron-expression صالح في Quartz. (مثال: 0 0 */1 * * *) لا تبقي القيمة فارغة، الحد الأدنى للقيمة هو 10 دقائق

    م. LogLevel - يرجى إضافة مستوى السجل أو قيمة خطورة السجل. بشكل افتراضي، يتم تعيينه إلى INFO

    ن. AppInsightsWorkspaceResourceId - ترحيل Application Insights الكلاسيكي إلى مساحة عمل Log Analytic التي سيتم إيقافها بحلول 29 فبراير 2024. استخدم شفرة "Log Analytic Workspace-->Properties" التي تحتوي على قيمة خاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.



Mimecast Intelligence ل Microsoft - Microsoft Sentinel (باستخدام وظائف Azure)

مدعوم من قبل:Mimecast

يوفر موصل البيانات ل Mimecast Intelligence ل Microsoft التحليل الذكي للمخاطر الإقليمية المنسقة من تقنيات فحص البريد الإلكتروني في Mimecast مع لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على التهديدات المستندة إلى البريد الإلكتروني والمساعدة في ارتباط الحادث وتقليل أوقات الاستجابة للتحقيق.
منتجات وميزات Mimecast المطلوبة:

  • بوابة البريد الإلكتروني الآمنة Mimecast
  • Mimecast Threat Intelligence

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد واجهة برمجة تطبيقات Mimecast: تحتاج إلى الحصول على أجزاء المعلومات التالية لتكوين التكامل:
  • mimecastEmail: عنوان البريد الإلكتروني لمستخدم مسؤول Mimecast مخصص
  • mimecastPassword: كلمة المرور لمستخدم مسؤول Mimecast المخصص
  • mimecastAppId: معرف تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم مسؤول Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم مسؤول Mimecast المخصص
  • mimecastBaseURL: عنوان URL لقاعدة Mimecast الإقليمية لواجهة برمجة التطبيقات

يمكن الحصول على معرف تطبيق Mimecast ومفتاح التطبيق، جنبا إلى جنب مع مفتاح الوصول والمفاتيح السرية لمستخدم مسؤول Mimecast المخصص عبر وحدة تحكم إدارة Mimecast: الإدارة | الخدمات | تكاملات واجهة برمجة التطبيقات والنظام الأساسي.

يتم توثيق عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast لكل منطقة هنا: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • مجموعة الموارد: تحتاج إلى إنشاء مجموعة موارد باشتراك ستستخدمه.
  • تطبيق الوظائف: تحتاج إلى تسجيل تطبيق Azure لهذا الموصل لاستخدامه
  1. معرف التطبيق
  2. معرف المستأجر
  3. معرف العميل
  4. سر العميل

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

تكوين:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Mimecast

انتقل إلى مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> سر عميل جديد وإنشاء سر جديد (احفظ القيمة في مكان آمن على الفور لأنك لن تتمكن من معاينتها لاحقا)

الخطوة 2 - توزيع موصل واجهة برمجة تطبيقات Mimecast

الهامه: قبل نشر موصل Mimecast API، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، متاح بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

تمكين Mimecast Intelligence ل Microsoft - Microsoft Sentinel Connector:

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل الحقول التالية:

  • appName: سلسلة فريدة سيتم استخدامها كمعرف للتطبيق في النظام الأساسي Azure
  • objectId: مدخل Azure ---> Azure Active Directory ---> مزيد من المعلومات ---> Profile -----> Object ID
  • appInsightsLocation(default): westeurope
  • mimecastEmail: عنوان البريد الإلكتروني للمستخدم المخصص لهذه الجاذبية
  • mimecastPassword: كلمة المرور للمستخدم المخصص
  • mimecastAppId: معرف التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم Mimecast المخصص
  • mimecastBaseURL: عنوان URL الإقليمي لواجهة برمجة تطبيقات Mimecast
  • activeDirectoryAppId: مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> Application ID
  • activeDirectoryAppSecret: مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> [your_app_secret]
  • workspaceId: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> معرف مساحة العمل (أو يمكنك نسخ workspaceId من الأعلى)
  • workspaceKey: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> Primary Key (أو يمكنك نسخ workspaceKey من الأعلى)
  • AppInsightsWorkspaceResourceID: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Properties ---> Resource ID

ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.

  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  2. انقر فوق شراء للنشر.

  3. انتقل إلى مدخل Azure ---> مجموعات الموارد ---> [your_resource_group] ---> [appName](type: Storage account) ---> Storage Explorer ---> BLOB CONTAINERS ---> نقاط التحقق من TIR ---> تحميل وإنشاء ملف فارغ على جهازك المسمى checkpoint.txt وتحديده للتحميل (يتم ذلك بحيث يتم تخزين date_range لسجلات TIR في حالة متناسقة)

تكوين إضافي:

الاتصال بموصل بيانات الأنظمة الأساسية للتحليل الذكي للمخاطر . اتبع الإرشادات الموجودة على صفحة الموصل ثم انقر فوق زر الاتصال.



بوابة البريد الإلكتروني الآمنة Mimecast

مدعوم من قبل:Mimecast

يسمح موصل البيانات لبوابة البريد الإلكتروني الآمنة Mimecast بجمع السجل بسهولة من بوابة البريد الإلكتروني الآمنة لعرض نتيجة تحليلات البريد الإلكتروني ونشاط المستخدم داخل Microsoft Sentinel. يوفر موصل البيانات لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على التهديدات المستندة إلى البريد الإلكتروني، والمساعدة في ارتباط الحادث وتقليل أوقات استجابة التحقيق إلى جانب قدرات التنبيه المخصصة. منتجات وميزات Mimecast المطلوبة:

  • بوابة سحابة Mimecast
  • منع تسرب بيانات Mimecast

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Seg_Cg_CL نعم نعم
Seg_Dlp_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في Microsoft Entra ID وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على مرجع Rest API

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

تكوين:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Mimecast

انتقل إلى مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> سر عميل جديد وإنشاء سر جديد (احفظ القيمة في مكان آمن على الفور لأنك لن تتمكن من معاينتها لاحقا)

**الخطوة 2 - توزيع موصل Mimecast API

الهامه: قبل نشر موصل Mimecast API، يكون لديك مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، متوفرا بسهولة.

الخطوة 3 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ موصل بيانات TenableVM.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 4 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ موصل بيانات TenableVM. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ TenableVM Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 5 - الحصول على معرف العنصر للتطبيق الخاص بك في Microsoft Entra ID

بعد إنشاء تسجيل التطبيق، اتبع الخطوات الواردة في هذا القسم للحصول على معرف العنصر:

  1. انتقل إلى Microsoft Entra ID.
  2. حدد Enterprise applications من القائمة اليسرى.
  3. ابحث عن التطبيق الذي تم إنشاؤه حديثا في القائمة (يمكنك البحث حسب الاسم الذي قدمته).
  4. انقر على التطبيق.
  5. في صفحة النظرة العامة، انسخ معرف الكائن. هذا هو AzureEntraObjectId المطلوب لتعيين دور قالب ARM.

توزيع موصل بيانات بوابة البريد الإلكتروني الآمن Mimecast:

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات بوابة البريد الإلكتروني الآمنة Mimecast.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

  3. أدخل المعلومات أدناه:

    أ. الموقع - الموقع الذي يجب نشر قواعد جمع البيانات ونقاط نهاية جمع البيانات فيه

    ب. WorkspaceName - أدخل اسم مساحة عمل Microsoft Sentinel لمساحة عمل Log Analytics

    ج. AzureClientID - أدخل Azure معرف العميل الذي قمت بإنشائه أثناء تسجيل التطبيق

    د. AzureClientSecret - أدخل Azure سر العميل الذي قمت بإنشائه أثناء إنشاء سر العميل

    ه. AzureTenantID - أدخل معرف المستأجر Azure Azure Active Directory

    و. AzureEntraObjectID - أدخل معرف العنصر لتطبيق Microsoft Entra

    ز. MimecastBaseURL - أدخل عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast 2.0 (على سبيل المثال https://api.services.mimecast.com)

    ح. MimecastClientID - أدخل معرف عميل Mimecast للمصادقة

    i. MimecastClientSecret - أدخل سر عميل Mimecast للمصادقة

    ي. MimecastCGTableName - أدخل اسم الجدول المستخدم لتخزين بيانات CG. الافتراضي هو "Seg_Cg"

    ك. MimecastDLPTableName - أدخل اسم الجدول المستخدم لتخزين بيانات DLP. الافتراضي هو "Seg_Dlp"

    l. StartDate - أدخل تاريخ البدء بتنسيق "yyyy-mm-dd". إذا لم تقدم تاريخا، فسيتم إحضار البيانات من آخر 60 يوما تلقائيا. تأكد من أن التاريخ في الماضي ومنسق بشكل صحيح

    م. الجدول الزمني - الرجاء إدخال تعبير cron-expression صالح في Quartz. (مثال: 0 0 */1 * * *) لا تبقي القيمة فارغة، الحد الأدنى للقيمة هو 10 دقائق

    ن. LogLevel - يرجى إضافة مستوى السجل أو قيمة خطورة السجل. بشكل افتراضي، يتم تعيينه إلى INFO

    يا. AppInsightsWorkspaceResourceId - ترحيل Application Insights الكلاسيكي إلى مساحة عمل Log Analytic التي سيتم إيقافها بحلول 29 فبراير 2024. استخدم شفرة "Log Analytic Workspace-->Properties" التي تحتوي على قيمة خاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.



بوابة البريد الإلكتروني الآمنة Mimecast (باستخدام وظائف Azure)

مدعوم من قبل:Mimecast

يسمح موصل البيانات لبوابة البريد الإلكتروني الآمنة Mimecast بجمع السجل بسهولة من بوابة البريد الإلكتروني الآمنة لعرض نتيجة تحليلات البريد الإلكتروني ونشاط المستخدم داخل Microsoft Sentinel. يوفر موصل البيانات لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على التهديدات المستندة إلى البريد الإلكتروني، والمساعدة في ارتباط الحادث وتقليل أوقات استجابة التحقيق إلى جانب قدرات التنبيه المخصصة. منتجات وميزات Mimecast المطلوبة:

  • بوابة البريد الإلكتروني الآمنة Mimecast
  • منع تسرب بيانات Mimecast

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
MimecastSIEM_CL لا لا
MimecastDLP_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد واجهة برمجة تطبيقات Mimecast: تحتاج إلى الحصول على أجزاء المعلومات التالية لتكوين التكامل:
  • mimecastEmail: عنوان البريد الإلكتروني لمستخدم مسؤول Mimecast مخصص
  • mimecastPassword: كلمة المرور لمستخدم مسؤول Mimecast المخصص
  • mimecastAppId: معرف تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم مسؤول Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم مسؤول Mimecast المخصص
  • mimecastBaseURL: عنوان URL لقاعدة Mimecast الإقليمية لواجهة برمجة التطبيقات

يمكن الحصول على معرف تطبيق Mimecast ومفتاح التطبيق، جنبا إلى جنب مع مفتاح الوصول والمفاتيح السرية لمستخدم مسؤول Mimecast المخصص عبر وحدة تحكم إدارة Mimecast: الإدارة | الخدمات | تكاملات واجهة برمجة التطبيقات والنظام الأساسي.

يتم توثيق عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast لكل منطقة هنا: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • مجموعة الموارد: تحتاج إلى إنشاء مجموعة موارد باشتراك ستستخدمه.
  • تطبيق الوظائف: تحتاج إلى تسجيل تطبيق Azure لهذا الموصل لاستخدامه
  1. معرف التطبيق
  2. معرف المستأجر
  3. معرف العميل
  4. سر العميل

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

تكوين:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Mimecast

انتقل إلى مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> سر عميل جديد وإنشاء سر جديد (احفظ القيمة في مكان آمن على الفور لأنك لن تتمكن من معاينتها لاحقا)

الخطوة 2 - توزيع موصل واجهة برمجة تطبيقات Mimecast

الهامه: قبل نشر موصل Mimecast API، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، متاح بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

توزيع موصل بيانات بوابة البريد الإلكتروني الآمن Mimecast:

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل الحقول التالية:

  • appName: سلسلة فريدة سيتم استخدامها كمعرف للتطبيق في النظام الأساسي Azure
  • objectId: مدخل Azure ---> Azure Active Directory ---> مزيد من المعلومات ---> Profile -----> Object ID
  • appInsightsLocation(default): westeurope
  • mimecastEmail: عنوان البريد الإلكتروني للمستخدم المخصص لهذه الجاذبية
  • mimecastPassword: كلمة المرور للمستخدم المخصص
  • mimecastAppId: معرف التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم Mimecast المخصص
  • mimecastBaseURL: عنوان URL الإقليمي لواجهة برمجة تطبيقات Mimecast
  • activeDirectoryAppId: مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> Application ID
  • activeDirectoryAppSecret: مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> [your_app_secret]
  • workspaceId: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> معرف مساحة العمل (أو يمكنك نسخ workspaceId من الأعلى)
  • workspaceKey: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> Primary Key (أو يمكنك نسخ workspaceKey من الأعلى)
  • AppInsightsWorkspaceResourceID: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Properties ---> Resource ID

ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.

  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  2. انقر فوق شراء للنشر.

  3. انتقل إلى مدخل Azure ---> مجموعات الموارد ---> [your_resource_group] ---> [appName](type: Storage account) ---> Storage Explorer ---> BLOB CONTAINERS ---> نقاط التحقق SIEM ---> تحميل وإنشاء ملف فارغ على جهازك المسمى checkpoint.txt، dlp-checkpoint.txt وتحديده للتحميل (يتم ذلك بحيث يتم تخزين date_range لسجلات SIEM في حالة متسقة)



الحماية من التهديدات المستهدفة من Mimecast

مدعوم من قبل:Mimecast

يوفر موصل البيانات للحماية من التهديدات المستهدفة من Mimecast للعملاء إمكانية الرؤية في أحداث الأمان المتعلقة بتقنيات فحص الحماية من التهديدات المستهدفة داخل Microsoft Sentinel. يوفر موصل البيانات لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على التهديدات المستندة إلى البريد الإلكتروني، والمساعدة في ارتباط الحادث وتقليل أوقات استجابة التحقيق إلى جانب قدرات التنبيه المخصصة.
منتجات Mimecast المضمنة داخل الموصل هي:

  • حماية عنوان URL
  • حماية انتحال الهوية
  • حماية المرفقات

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Ttp_Url_CL نعم نعم
Ttp_Attachment_CL نعم نعم
Ttp_Impersonation_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في Microsoft Entra ID وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على مرجع Rest API

إرشادات الإعداد:

مجموعة الموارد

يجب أن يكون لديك مجموعة موارد تم إنشاؤها باستخدام اشتراك ستستخدمه.

تطبيق الوظائف

يجب أن يكون لديك تطبيق Azure مسجل لاستخدام هذا الموصل

  1. معرف التطبيق
  2. معرف المستأجر
  3. معرف العميل
  4. سر العميل

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ Mimecast Data Connector.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 2 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ Mimecast Data Connector. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ Mimecast Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 3 - الحصول على معرف العنصر للتطبيق الخاص بك في Microsoft Entra ID

بعد إنشاء تسجيل التطبيق، اتبع الخطوات الواردة في هذا القسم للحصول على معرف العنصر:

  1. انتقل إلى Microsoft Entra ID.
  2. حدد Enterprise applications من القائمة اليسرى.
  3. ابحث عن التطبيق الذي تم إنشاؤه حديثا في القائمة (يمكنك البحث حسب الاسم الذي قدمته).
  4. انقر على التطبيق.
  5. في صفحة النظرة العامة، انسخ معرف الكائن. هذا هو AzureEntraObjectId المطلوب لتعيين دور قالب ARM.

الخطوة 4 - توزيع موصل واجهة برمجة تطبيقات Mimecast

الهامه: قبل نشر موصل Mimecast API، يكون لديك مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، متوفرا بسهولة.

قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات الحماية من التهديدات المستهدفة Mimecast.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

  3. أدخل المعلومات أدناه:

    أ. الموقع - الموقع الذي يجب نشر قواعد جمع البيانات ونقاط نهاية جمع البيانات فيه

    ب. WorkspaceName - أدخل اسم مساحة عمل Microsoft Sentinel لمساحة عمل Log Analytics

    ج. AzureClientID - أدخل Azure معرف العميل الذي قمت بإنشائه أثناء تسجيل التطبيق

    د. AzureClientSecret - أدخل Azure سر العميل الذي قمت بإنشائه أثناء إنشاء سر العميل

    ه. AzureTenantID - أدخل معرف المستأجر Azure Azure Active Directory

    و. AzureEntraObjectID - أدخل معرف العنصر لتطبيق Microsoft Entra

    ز. MimecastBaseURL - أدخل عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast 2.0 (على سبيل المثال https://api.services.mimecast.com)

    ح. MimecastClientID - أدخل معرف عميل Mimecast للمصادقة

    i. MimecastClientSecret - أدخل سر عميل Mimecast للمصادقة

    ي. StartDate - أدخل تاريخ البدء بتنسيق "yyyy-mm-dd". إذا لم تقدم تاريخا، فسيتم إحضار البيانات من آخر 60 يوما تلقائيا. تأكد من أن التاريخ في الماضي ومنسق بشكل صحيح

    ك. MimecastTTPAttachmentTableName - أدخل اسم الجدول المستخدم لتخزين بيانات مرفق TTP. الافتراضي هو "Ttp_Attachment"

    l. MimecastTTPImpersonationTableName - أدخل اسم الجدول المستخدم لتخزين بيانات انتحال TTP. الافتراضي هو "Ttp_Impersonation"

    م. MimecastTTPUrlTableName - أدخل اسم الجدول المستخدم لتخزين بيانات مرفق TTP. الافتراضي هو "Ttp_Url"

    ن. الجدول الزمني - الرجاء إدخال تعبير cron-expression صالح في Quartz. (مثال: 0 0 */1 * * *) لا تبقي القيمة فارغة، الحد الأدنى للقيمة هو 10 دقائق

    l. LogLevel - يرجى إضافة مستوى السجل أو قيمة خطورة السجل. بشكل افتراضي، يتم تعيينه إلى INFO

    يا. AppInsightsWorkspaceResourceId - ترحيل Application Insights الكلاسيكي إلى مساحة عمل Log Analytic التي سيتم إيقافها بحلول 29 فبراير 2024. استخدم شفرة "Log Analytic Workspace-->Properties" التي تحتوي على قيمة خاصية "معرف المورد". هذا معرف مورد مؤهل بالكامل بتنسيق '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}'

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.



Mimecast Targeted Threat Protection (باستخدام وظائف Azure)

مدعوم من قبل:Mimecast

يوفر موصل البيانات للحماية من التهديدات المستهدفة من Mimecast للعملاء إمكانية الرؤية في أحداث الأمان المتعلقة بتقنيات فحص الحماية من التهديدات المستهدفة داخل Microsoft Sentinel. يوفر موصل البيانات لوحات معلومات تم إنشاؤها مسبقا للسماح للمحللين بعرض نظرة ثاقبة على التهديدات المستندة إلى البريد الإلكتروني، والمساعدة في ارتباط الحادث وتقليل أوقات استجابة التحقيق إلى جانب قدرات التنبيه المخصصة.
منتجات Mimecast المضمنة داخل الموصل هي:

  • حماية عنوان URL
  • حماية انتحال الهوية
  • حماية المرفقات

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
MimecastTTPUrl_CL لا لا
MimecastTTPAttachment_CL لا لا
MimecastTTPImpersonation_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: تحتاج إلى الحصول على أجزاء المعلومات التالية لتكوين التكامل:
  • mimecastEmail: عنوان البريد الإلكتروني لمستخدم مسؤول Mimecast مخصص
  • mimecastPassword: كلمة المرور لمستخدم مسؤول Mimecast المخصص
  • mimecastAppId: معرف تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح تطبيق واجهة برمجة التطبيقات لتطبيق Mimecast Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم مسؤول Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم مسؤول Mimecast المخصص
  • mimecastBaseURL: عنوان URL لقاعدة Mimecast الإقليمية لواجهة برمجة التطبيقات

يمكن الحصول على معرف تطبيق Mimecast ومفتاح التطبيق، جنبا إلى جنب مع مفتاح الوصول والمفاتيح السرية لمستخدم مسؤول Mimecast المخصص عبر وحدة تحكم إدارة Mimecast: الإدارة | الخدمات | تكاملات واجهة برمجة التطبيقات والنظام الأساسي.

يتم توثيق عنوان URL الأساسي لواجهة برمجة تطبيقات Mimecast لكل منطقة هنا: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

إرشادات الإعداد:

مجموعة الموارد

يجب أن يكون لديك مجموعة موارد تم إنشاؤها باستخدام اشتراك ستستخدمه.

تطبيق الوظائف

يجب أن يكون لديك تطبيق Azure مسجل لاستخدام هذا الموصل

  1. معرف التطبيق
  2. معرف المستأجر
  3. معرف العميل
  4. سر العميل

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Mimecast لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

تكوين:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Mimecast

انتقل إلى مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> سر عميل جديد وإنشاء سر جديد (احفظ القيمة في مكان آمن على الفور لأنك لن تتمكن من معاينتها لاحقا)

الخطوة 2 - توزيع موصل واجهة برمجة تطبيقات Mimecast

الهامه: قبل نشر موصل Mimecast API، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل Mimecast API أو الرمز المميز، متاح بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

توزيع موصل بيانات الحماية من التهديدات المستهدفة Mimecast:

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل الحقول التالية:

  • appName: سلسلة فريدة سيتم استخدامها كمعرف للتطبيق في النظام الأساسي Azure
  • objectId: مدخل Azure ---> Azure Active Directory ---> مزيد من المعلومات ---> Profile -----> Object ID
  • appInsightsLocation(default): westeurope
  • mimecastEmail: عنوان البريد الإلكتروني للمستخدم المخصص لهذه الجاذبية
  • mimecastPassword: كلمة المرور للمستخدم المخصص
  • mimecastAppId: معرف التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAppKey: مفتاح التطبيق من تطبيق Microsoft Sentinel المسجل مع Mimecast
  • mimecastAccessKey: مفتاح الوصول لمستخدم Mimecast المخصص
  • mimecastSecretKey: مفتاح سري لمستخدم Mimecast المخصص
  • mimecastBaseURL: عنوان URL الإقليمي لواجهة برمجة تطبيقات Mimecast
  • activeDirectoryAppId: مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> Application ID
  • activeDirectoryAppSecret: مدخل Azure ---> تسجيلات التطبيقات ---> [your_app] ---> الشهادات & البيانات السرية ---> [your_app_secret]
  • workspaceId: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> معرف مساحة العمل (أو يمكنك نسخ workspaceId من الأعلى)
  • workspaceKey: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Agents ---> Primary Key (أو يمكنك نسخ workspaceKey من الأعلى)
  • AppInsightsWorkspaceResourceID: مدخل Azure ---> مساحات عمل Log Analytics ---> [مساحة العمل الخاصة بك] ---> Properties ---> Resource ID

ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.

  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  2. انقر فوق شراء للنشر.

  3. انتقل إلى مدخل Azure ---> مجموعات الموارد ---> [your_resource_group] ---> [appName](type: Storage account) ---> Storage Explorer ---> BLOB CONTAINERS ---> نقاط التحقق TTP ---> تحميل الملفات الفارغة وإنشاءها على جهازك المسمى attachment-checkpoint.txt، impersonation-checkpoint.txt، url-checkpoint.txt وحددها للتحميل (يتم ذلك بحيث يتم تخزين date_range لسجلات TTP في حالة متناسقة)



MISP2Sentinel

مدعوم من قبل:المجتمع

يقوم هذا الحل بتثبيت موصل MISP2Sentinel الذي يسمح لك بدفع مؤشرات التهديد تلقائيا من MISP إلى Microsoft Sentinel عبر واجهة برمجة تطبيقات REST لمؤشرات التحميل. بعد تثبيت الحل، قم بتكوين موصل البيانات هذا وتمكينه باتباع الإرشادات الواردة في إدارة طريقة عرض الحل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

إرشادات التثبيت والإعداد

استخدم الوثائق من مستودع GitHub هذا لتثبيت وتكوين MISP Microsoft Sentinel الموصل:

https://github.com/cudeso/misp2sentinel



سجلات MongoDB Atlas

مدعوم من قبل:MongoDB

يمنح موصل سجلات MongoDBAtlas القدرة على تحميل سجلات قاعدة بيانات MongoDB Atlas إلى Microsoft Sentinel من خلال واجهة برمجة تطبيقات إدارة MongoDB Atlas. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يوفر الموصل القدرة على الحصول على مجموعة من رسائل سجل قاعدة البيانات للمضيفين المحددين والمشروع المحدد.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
MDBALogTable_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب معرف عميل حساب خدمة MongoDB Atlas وسر العميل . لمزيد من المعلومات، راجع إنشاء حساب خدمة

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب "MongoDB Atlas" لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

تأكد من إضافة مساحة العمل إلى Microsoft Sentinel قبل نشر الموصل.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات إدارة MongoDB Atlas

  1. اتبع هذه الإرشادات لإنشاء حساب خدمة MongoDB Atlas.
  2. انسخ معرف العميل وسر العميل الذي أنشأته، وكذلك معرف المجموعة (المشروع) وكل معرف نظام مجموعة (اسم المضيف) مطلوب للخطوات اللاحقة.
  3. راجع وثائق MongoDB Atlas API لمزيد من التفاصيل.
  4. يمكن تمرير سر العميل إلى الموصل عبر مخزن مفاتيح Azure أو مباشرة إلى الموصل.
  5. إذا كنت ترغب في استخدام خيار key vault، فقم بإنشاء مخزن مفاتيح، باستخدام نهج الوصول إلى Vault، مع سر يسمى mongodb-client-secret وسر العميل الخاص بك المحفوظ كقيمة سرية.

الخطوة 2 - نشر موصل "سجلات أطلس MongoDB" ودالة Azure المقترنة

  1. انقر فوق الزر Deploy to Azure أدناه.

    portal.azure.com

الخطوة 3 - تعيين معلمات الموصل

  1. حدد الاشتراك المفضل ومجموعة موارد موجودة.
  2. أدخل معرف مورد مساحة عمل Log Analytics موجود ينتمي إلى مجموعة الموارد.
  3. انقر فوق التالي
  4. أدخل معرف مجموعة MongoDB، وقائمة تصل إلى 10 معرفات نظام مجموعة MongoDB، كل منها على سطر منفصل، ومعرف عميل MongoDB.
  5. اختر ل Authentication Method إما Client Secret ونسخها في قيمة سر العميل أو Key Vault وانسخها باسم مخزن المفاتيح الخاص بك. انقر فوق التالي
  6. راجع عوامل تصفية MongoDB. حدد السجلات من فئة واحدة على الأقل. انقر فوق التالي
  7. راجع الجدول الزمني. انقر فوق التالي
  8. راجع الإعدادات ثم انقر فوق إنشاء.



MuleSoft Cloudhub (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات MuleSoft Cloudhub القدرة على استرداد السجلات من تطبيقات Cloudhub باستخدام واجهة برمجة تطبيقات Cloudhub والمزيد من الأحداث في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
MuleSoft_Cloudhub_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: MuleSoftEnvIdوMuleSoftAppNameوMuleSoftUsernameوMuleSoftPassword مطلوبة لإجراء استدعاءات واجهة برمجة التطبيقات.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات تخزين كائن ثنائي كبير الحجم Azure لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف تخزين Azure Blob. تحقق من صفحة تسعير دالات Azureوصفحة تسعير blob Storage Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع MuleSoftCloudhub الذي يتم نشره باستخدام Microsoft Sentinel Solution.

ملاحظة: يقوم موصل البيانات هذا بإحضار سجلات تطبيق CloudHub فقط باستخدام واجهة برمجة تطبيقات النظام الأساسي وليس تطبيق CloudHub 2.0

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات MuleSoft Cloudhub

اتبع الإرشادات للحصول على بيانات الاعتماد.

  1. احصل على MuleSoftEnvId وMuleSoftAppName وMuleSoftUsername وMuleSoftPassword باستخدام الوثائق.
  2. احفظ بيانات الاعتماد لاستخدامها في موصل البيانات.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات MuleSoft Cloudhub، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات MuleSoft Cloudhub باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل MuleSoftEnvId وMuleSoftAppName وMuleSoftUsername وMuleSoftPassword وانشر. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات MuleSoft Cloudhub يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، MuleSoftXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



حماية NC

مدعوم من قبل:archTIS

يوفر NC Protect Data Connector (archtis.com) القدرة على استيعاب سجلات نشاط المستخدم والأحداث في Microsoft Sentinel. يوفر الموصل رؤية لسجلات نشاط المستخدم NC Protect والأحداث في Microsoft Sentinel لتحسين قدرات المراقبة والتحقيق

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
NCProtectUAL_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • NC Protect: يجب أن يكون لديك مثيل قيد التشغيل من NC Protect ل O365. يرجى الاتصال بنا.

إرشادات الإعداد:

  1. تثبيت NC Protect في Azure الإيجار
  2. تسجيل الدخول إلى موقع إدارة حماية NC
  3. من قائمة التنقل اليسرى، حدد عام -> مراقبة نشاط المستخدم
  4. حدد خانة الاختيار لتمكين SIEM وانقر فوق الزر تكوين
  5. حدد Microsoft Sentinel كتطبيق وأكمل التكوين باستخدام المعلومات أدناه
  6. انقر فوق حفظ لتنشيط الاتصال
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



Netskope Alerts and Events

مدعوم من قبل:Netskope

Netskope Security Alerts and Events

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
NetskopeAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • عنوان URL لمنظمة Netskope: يتطلب منك موصل بيانات Netskope توفير عنوان URL لمؤسستك. يمكنك العثور على عنوان URL لمؤسستك عن طريق تسجيل الدخول إلى مدخل Netskope.
  • مفتاح Netskope API: يتطلب منك موصل بيانات Netskope توفير مفتاح واجهة برمجة تطبيقات صالح. يمكنك إنشاء واحد باتباع وثائق Netskope.

إرشادات الإعداد:

الخطوة 1 - إنشاء مفتاح Netskope API.

اتبع وثائق Netskope للحصول على إرشادات حول هذه الخطوة.

الخطوة 2 - أدخل تفاصيل منتج Netskope

أدخل عنوان url الخاص بمؤسسة Netskope الخاص بك & API Token أدناه:

  • عنوان URL للمؤسسة: (أدخل عنوان URL لمؤسستك)
  • مفتاح واجهة برمجة التطبيقات: (أدخل مفتاح API) اختياري: حدد الفهرس الذي تستخدمه واجهة برمجة التطبيقات.

تكوين الفهرس اختياري ومطلوب فقط في السيناريو المتقدم. يستخدم Netskope فهرسا لاسترداد الأحداث. في بعض الحالات المتقدمة (استهلاك الحدث في مساحات عمل متعددة Microsoft Sentinel، أو ما قبل التفاهة للفهرس لاسترداد البيانات الأخيرة فقط)، قد يرغب العميل في التحكم المباشر في الفهرس.

  • الفهرس: (NetskopeCCF)

الخطوة 3 - انقر فوق اتصال

تحقق من تعبئة كافة الحقول أعلاه بشكل صحيح. اضغط على Connect لتوصيل Netskope Microsoft Sentinel.

  • تمكين/تعطيل الاتصال



موصل بيانات Netskope

مدعوم من قبل:Netskope

يوفر موصل بيانات Netskope الإمكانات التالية:

  1. NetskopeToAzureStorage :
  • احصل على بيانات Netskope Alerts and Events من Netskope واستيعابها إلى تخزين Azure. 2. StorageToSentinel :
  • احصل على بيانات Netskope Alerts and Events من تخزين Azure واستيعابها إلى جدول سجل مخصص في مساحة عمل تحليلات السجل. 3. WebTxMetrics :
  • احصل على بيانات WebTxMetrics من Netskope واستيعابها إلى جدول سجل مخصص في مساحة عمل تحليلات السجل.

لمزيد من التفاصيل حول واجهات برمجة تطبيقات REST، راجع الوثائق أدناه:

  1. وثائق Netskope API:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure وثائق التخزين: /azure/storage/common/storage-introduction 3. وثائق تحليل سجل Microsoft: /azure/azure-monitor/logs/log-analytics-overview

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
alertscompromisedcredentialdata_CL لا لا
alertsctepdata_CL لا لا
alertsdlpdata_CL لا لا
alertsmalsitedata_CL لا لا
alertsmalwaredata_CL لا لا
alertspolicydata_CL لا لا
alertsquarantinedata_CL لا لا
alertsremediationdata_CL لا لا
alertssecurityassessmentdata_CL لا لا
alertsubadata_CL لا لا
eventsapplicationdata_CL لا لا
eventsauditdata_CL لا لا
eventsconnectiondata_CL لا لا
eventsincidentdata_CL لا لا
eventsnetworkdata_CL لا لا
eventspagedata_CL لا لا
Netskope_WebTx_metrics_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في azure active Directory() وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب Netskope TenantوNetskope API Token . راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على مرجع Rest API

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهات برمجة تطبيقات Netskope لسحب بيانات التنبيهات والأحداث الخاصة به إلى جدول سجل مخصص. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ دليل المبادئ TriggersSync.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 2 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ دليل المبادئ TriggersSync. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ دليل المبادئ TriggersSync.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 3 - تعيين دور المساهم للتطبيق في Microsoft Entra ID

اتبع الخطوات الواردة في هذا القسم لتعيين الدور:

  1. في مدخل Azure، انتقل إلى مجموعة الموارد وحدد مجموعة الموارد الخاصة بك.
  2. انتقل إلى Access control (IAM) من اللوحة اليسرى.
  3. انقر فوق إضافة، ثم حدد إضافة تعيين دور.
  4. حدد المساهم كدور وانقر فوق التالي.
  5. في تعيين الوصول إلى، حدد User, group, or service principal.
  6. انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
  7. انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.

رابط المرجع:/azure/role-based-access-control/role-assignments-portal

الخطوة 4 - خطوات إنشاء/الحصول على بيانات الاعتماد لحساب Netskope

اتبع الخطوات الواردة في هذا القسم لإنشاء/الحصول على Netskope Hostname وNetskope API Token:

  1. قم بتسجيل الدخول إلى مستأجر Netskope وانتقل إلى قائمة الإعدادات على شريط التنقل الأيسر.
  2. انقر فوق أدوات ثم REST API v2
  3. الآن، انقر فوق زر الرمز المميز الجديد. ثم سيطلب اسم الرمز المميز ومدة انتهاء الصلاحية ونقاط النهاية التي تريد إحضار البيانات منها.
  4. بمجرد الانتهاء من ذلك، انقر فوق زر الحفظ، سيتم إنشاء الرمز المميز. انسخ الرمز المميز واحفظه في مكان آمن لمزيد من الاستخدام.

الخطوة 5 - خطوات إنشاء وظائف azure لتنبيهات Netskope وجمع بيانات الأحداث

الهامه: قبل نشر موصل بيانات Netskope، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..، بالإضافة إلى مفتاح (مفاتيح) تخويل واجهة برمجة تطبيقات Netskope.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

يؤدي استخدام قالب ARM إلى توزيع تطبيقات الوظائف لاستيعاب أحداث Netskope وتنبيهات البيانات إلى Sentinel.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه : Netskope HostName Netskope API Token حدد نعم في القائمة المنسدلة أنواع التنبيهات والأحداث لنقطة النهاية هذه التي تريد إحضار التنبيهات ومعرف مساحة عمل مستوى سجل الأحداث مفتاح مساحة العمل

  4. انقر فوق Review+Create.

  5. ثم بعد التحقق من الصحة، انقر فوق إنشاء للنشر.



Netskope Web Transaction Connector (عبر مخزن البيانات الثنائية الكبيرة)

مدعوم من قبل:Netskope

يدمج موصل Netskope Web Transaction سجلات معاملات الويب من Netskope Log Streaming في Microsoft Sentinel عبر مساحة تخزين Azure Blob باستخدام إطار عمل موصل بدون تعليمات برمجية (CCF).

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
NetskopeWebTransactions_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات الاشتراك: تحتاج إلى أذونات لإنشاء موارد تدفق البيانات:
  • قوائم انتظار التخزين (قائمة انتظار الإعلامات وقائمة انتظار الرسائل غير المستخدمة)
  • موضوع شبكة الحدث والاشتراك (لإرسال إعلامات "حدث تم إنشاؤه بواسطة كائن ثنائي كبير الحجم" إلى قائمة انتظار الإعلامات)
  • تعيينات الدور (لمنح حق الوصول لتطبيق Microsoft Sentinel إلى حاوية الكائن الثنائي كبير الحجم وقوائم انتظار التخزين.)
  • تكوين شبكة حساب التخزين: قيود الشبكة (قواعد جدار الحماية/IP) على حساب تخزين Azure Blob غير مدعومة لهذا الموصل بسبب قيود وقيود جدار حماية التخزين Azure:
  • لا تؤثرقواعد شبكة IP على الطلبات التي تنشأ من نفس المنطقة Azure مثل حساب التخزين.
  • لا يمكن لقواعدشبكة IP تقييد الوصول إلى خدمات Azure المنشورة في نفس المنطقة، حيث تستخدم هذه الخدمات عناوين IP Azure الخاصة للاتصال.
  • لا تنطبق قواعد نقطة نهاية خدمة الشبكة الظاهرية على العملاء في منطقة مقترنة.

تأكد من تعيين جزء Networking لحساب التخزين إلى ممكن من جميع الشبكات.

  • تعيينات دور حساب التخزين: يجب تعيين أدوار التحكم في الوصول استنادا إلى الدور Azure التالية إلى كيان خدمة تطبيق المؤسسة Microsoft Sentinel (المعروض أدناه) على حساب التخزين الذي يحتوي على حاوية الكائن الثنائي كبير الحجم:
  • Storage Blob Data Contributor — مطلوب لقراءة بيانات الكائن الثنائي كبير الحجم من الحاوية.
  • مساهم بيانات قائمة انتظار التخزين - مطلوب لإدارة رسائل قائمة انتظار الإعلامات والرسائل المهملة.

لتعيين هذه الأدوار: انتقل إلى حساب التخزين → التحكم في الوصول (IAM)إضافة تعيين دور، وابحث عن معرف كيان الخدمة الموضح أدناه، وقم بتعيين كلا الدورين.

  • جمع البيانات من Netskope إلى حاوية الكائن الثنائي كبير الحجم: اتبع الخطوات الواردة في وثائق Netskope Log Streaming لتكوين Netskope لدفق سجلات معاملات الويب إلى حاوية تخزين كائن ثنائي كبير الحجم Azure.

إرشادات الإعداد:

توصيل سجلات Netskope WebTx ب Microsoft Sentinel

لتمكين سجلات Netskope WebTx Microsoft Sentinel، قم بتوفير المعلومات المطلوبة أدناه وانقر فوق Connect.

  • عنوان URL لحاوية الكائن الثنائي كبير الحجم الذي تريد جمع البيانات منه:
  • اسم مجلد الكائنات الثنائية كبيرة الحجم في الحاوية. الاختياري.:
  • موقع حساب تخزين حاوية الكائن الثنائي كبير الحجم:
  • اسم مجموعة موارد حساب تخزين حاوية الكائن الثنائي كبير الحجم:
  • معرف اشتراك حساب تخزين حاوية الكائن الثنائي كبير الحجم:
  • اسم موضوع شبكة الحدث لحساب تخزين حاوية كائن ثنائي كبير الحجم إذا كان موجودا. وإلا تبقى فارغة.:
  • تمكين/تعطيل الاتصال



Netskope Web Transactions Data Connector

مدعوم من قبل:Netskope

يوفر موصل بيانات Netskope Web Transactions وظائف صورة docker لسحب بيانات Netskope Web Transactions من google pubsublite ومعالجة البيانات واستيعاب البيانات المعالجة إلى Log Analytics. كجزء من موصل البيانات هذا، سيتم تشكيل جدولين في Log Analytics، أحدهما لبيانات معاملات الويب والآخر للأخطاء التي تمت مواجهتها أثناء التنفيذ.

لمزيد من التفاصيل المتعلقة بمعاملات الويب، راجع الوثائق أدناه:

  1. وثائق Netskope Web Transactions:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
NetskopeWebtxData_CL لا لا
NetskopeWebtxErrors_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في Microsoft Entra ID وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Compute: مطلوب أذونات القراءة والكتابة إلى Azure VMs. لمزيد من المعلومات، راجع Azure الأجهزة الظاهرية.
  • بيانات اعتماد وأذونات TransactionEvents: مطلوب Netskope TenantوNetskope API Token . لمزيد من المعلومات، راجع أحداث المعاملات.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.

إرشادات الإعداد:

ملاحظه: يوفر هذا الموصل وظيفة استيعاب بيانات Netskope Web Transactions باستخدام صورة docker ليتم نشرها على جهاز ظاهري (إما Azure VM/On Premise VM). تحقق من صفحة تسعير الجهاز الظاهري Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات إنشاء/الحصول على بيانات الاعتماد لحساب Netskope

اتبع الخطوات الواردة في هذا القسم لإنشاء/الحصول على Netskope Hostname وNetskope API Token:

  1. قم بتسجيل الدخول إلى مستأجر Netskope وانتقل إلى قائمة الإعدادات على شريط التنقل الأيسر.
  2. انقر فوق أدوات ثم REST API v2
  3. الآن، انقر فوق زر الرمز المميز الجديد. ثم سيطلب اسم الرمز المميز ومدة انتهاء الصلاحية ونقاط النهاية التي تريد إحضار البيانات منها.
  4. بمجرد الانتهاء من ذلك، انقر فوق زر الحفظ، سيتم إنشاء الرمز المميز. انسخ الرمز المميز واحفظه في مكان آمن لمزيد من الاستخدام.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر موصل البيانات المستند إلى docker لاستيعاب بيانات Netskope Web Transactions

الهامه: قبل نشر موصل بيانات Netskope، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة، بالإضافة إلى مفتاح (مفاتيح) تخويل واجهة برمجة تطبيقات Netskope [تأكد من أن الرمز المميز لديه أذونات لأحداث المعاملات].

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - استخدام قالب Azure Resource Manager (ARM) لنشر الجهاز الظاهري [مستحسن]

باستخدام قالب ARM، قم بتوزيع جهاز ظاهري Azure، وقم بتثبيت المتطلبات الأساسية وابدأ التنفيذ.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Docker Image Name (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions) Netskope HostName Netskope API Token Seek Timestamp (الطابع الزمني للعصر الذي تريد البحث عن مؤشر pubsublite، يمكن تركه فارغا) عدد مرات إعادة محاولة مفتاح مساحة العمل لمعرف مساحة العمل (عدد مرات إعادة المحاولة للأخطاء المتعلقة بالرمز المميز قبل إعادة تشغيل التنفيذ.)
    وقت السكون للتراجع (عدد الثوان إلى السكون قبل إعادة المحاولة) مهلة الخمول (عدد الثوان لانتظار بيانات معاملات الويب قبل إعادة التنفيذ) نوع مصادقة اسم الجهاز الظاهري مسؤول كلمة المرور أو بادئة تسمية DNS الرئيسية Ubuntu OS Location VM Size Subnet Name Network Security Group Name Type

  4. انقر فوق Review+Create.

  5. ثم بعد التحقق من الصحة، انقر فوق إنشاء للنشر.

الخيار 2 - النشر اليدوي على الجهاز الظاهري الذي تم إنشاؤه مسبقا

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل البيانات المستند إلى docker يدويا على جهاز ظاهري تم إنشاؤه مسبقا.

  1. تثبيت docker وسحب صورة docker

ملاحظه: تأكد من أن الجهاز الظاهري يستند إلى Linux (يفضل أن يكون Ubuntu).

  1. أولا ستحتاج إلى SSH في الجهاز الظاهري.

  2. الآن قم بتثبيت محرك docker.

  3. الآن اسحب صورة docker من docker hub باستخدام الأمر: 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.

  4. الآن لتشغيل صورة docker استخدم الأمر: 'sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'. يمكنك استبدال mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions بمعرف الصورة. هنا docker_persistent_volume هو اسم المجلد الذي سيتم إنشاؤه على الجهاز الظاهري الذي سيتم تخزين الملفات فيه.

  5. تكوين المعلمات

  6. بمجرد تشغيل صورة docker، ستطلب المعلمات المطلوبة.

  7. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع القيم الخاصة بها (حساسة لحالة الأحرف): يمكن ترك Netskope HostName Netskope API Token Seek Timestamp (الطابع الزمني للعصر الذي تريد البحث عن مؤشر pubsublite، فارغا) مساحة عمل معرف مساحة العمل عدد مرات إعادة محاولة التراجع (عدد مرات إعادة المحاولة للأخطاء المتعلقة بالرمز المميز قبل إعادة تشغيل التنفيذ.)
    وقت السكون للتراجع (عدد الثوان التي يجب وضع السكون فيها قبل إعادة المحاولة) مهلة الخمول (عدد الثوان لانتظار بيانات معاملات الويب قبل إعادة التنفيذ)

  8. الآن بدأ التنفيذ ولكنه في الوضع التفاعلي، بحيث لا يمكن إيقاف shell. لتشغيله كعملية خلفية، أوقف التنفيذ الحالي بالضغط على Ctrl+C ثم استخدم الأمر: 'sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions'.

  9. إيقاف حاوية docker

  10. استخدم الأمر "sudo docker container ps" لسرد حاويات docker قيد التشغيل. دون معرف الحاوية الخاص بك.

  11. الآن أوقف الحاوية باستخدام الأمر: 'sudo docker stop <container-id>'.



مجموعات أمان الشبكة

مدعوم من قبل:Microsoft Corporation

تسمح لك Azure مجموعات أمان الشبكة (NSG) بتصفية نسبة استخدام الشبكة من وإلى موارد Azure في شبكة ظاهرية Azure. تتضمن مجموعة أمان الشبكة قواعد تسمح بنسبة استخدام الشبكة أو ترفضها إلى شبكة فرعية لشبكة ظاهرية أو واجهة شبكة اتصال أو كليهما.

عند تمكين التسجيل لمجموعة أمان الشبكة، يمكنك جمع الأنواع التالية من معلومات سجل الموارد:

  • الحدث: يتم تسجيل الإدخالات التي يتم تطبيق قواعد NSG عليها على الأجهزة الظاهرية، استنادا إلى عنوان MAC.
  • عداد القاعدة: يحتوي على إدخالات لعدد المرات التي يتم فيها تطبيق كل قاعدة NSG لرفض نسبة استخدام الشبكة أو السماح بها. يتم جمع حالة هذه القواعد كل 300 ثانية.

يتيح لك هذا الموصل دفق سجلات تشخيص NSG إلى Microsoft Sentinel، مما يسمح لك بمراقبة النشاط باستمرار في جميع المثيلات الخاصة بك. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
AzureDiagnostics لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

NordPass

مدعوم من قبل:NordPass

سيسمح لك دمج NordPass مع Microsoft Sentinel SIEM عبر واجهة برمجة التطبيقات بنقل بيانات سجل النشاط تلقائيا من NordPass إلى Microsoft Sentinel والحصول على رؤى في الوقت الحقيقي، مثل نشاط العنصر وجميع محاولات تسجيل الدخول وإعلامات الأمان.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
NordPassEventLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

إرشادات الإعداد:

لمتابعة إعداد Microsoft Sentinel

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. يرجى ملاحظة أنه بعد التوزيع الناجح، يسحب النظام بيانات سجل النشاط كل دقيقة واحدة بشكل افتراضي.



موصل مشاركة البيانات Obsidian

مدعوم من قبل:Obsidian Security

يوفر موصل Obsidian Datasharing القدرة على قراءة بيانات الأحداث الأولية من Obsidian Datasharing في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ObsidianActivity_CL لا لا
ObsidianThreat_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR). يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يقرأ هذا الموصل البيانات من الجداول التي يستخدمها Obsidian Datasharing في مساحة عمل Microsoft Analytics، إذا تم تمكين خيار إعادة توجيه البيانات في Obsidian Datasharing، فسيتم إرسال بيانات الحدث الأولية إلى واجهة برمجة تطبيقات Microsoft Sentinel الاستيعاب.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. دفع سجلاتك إلى مساحة العمل

استخدم المعلمات التالية لتكوين جهازك لإرسال السجلات إلى مساحة العمل.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • اسم Stream النشاط: <قيمة متغيرة متوفرة في وقت التثبيت>
  • اسم Stream التهديد: <قيمة متغيرة متوفرة في وقت التثبيت>



Okta single Sign-On (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Okta Single Sign-On (SSO) القدرة على استيعاب سجلات التدقيق والأحداث من Okta Sysem Log API في Microsoft Sentinel. تم إنشاء موصل البيانات على Microsoft Sentinel Codeless Connector Framework ويستخدم Okta System Log API لجلب الأحداث. يدعم الموصل تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل بيانات حدث الأمان المستلمة إلى أعمدة مخصصة بحيث لا تحتاج الاستعلامات إلى تحليلها مرة أخرى، مما يؤدي إلى أداء أفضل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OktaSSO لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

إرشادات الإعداد:

لتمكين Sign-On Okta Single Microsoft Sentinel، قم بتوفير المعلومات المطلوبة أدناه وانقر فوق Connect.

  • شبكة موصلات البيانات (تكوين في المدخل)



Onapsis Defend: دمج الكشف عن تهديدات SAP غير المتطابقة & Intel مع Microsoft Sentinel

مدعوم من قبل:Onapsis

تمكين فرق الأمان ذات الرؤية العميقة في نشاط الجهات الفاعلة الفريدة من نوعها، والاستغلال الصفري، والتهديدات؛ سلوك مريب للمستخدم أو من الداخل؛ تنزيلات البيانات الحساسة؛ انتهاكات التحكم في الأمان؛ وأكثر من ذلك - جميعها تم إثراؤها من قبل خبراء SAP في Onapsis.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Onapsis_Defend_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قواعد جمع البيانات. يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

سنقوم بإنشاء موارد قاعدة جمع البيانات (DCR) ونقطة نهاية جمع البيانات (DCE). سنقوم أيضا بإنشاء تسجيل تطبيق Microsoft Entra وتعيين الأذونات المطلوبة له.

سيؤدي النشر التلقائي لموارد Azure النقر على "توزيع موارد موصل الدفع" إلى إنشاء موارد DCR وDCE. ثم سيقوم بإنشاء تسجيل تطبيق Microsoft Entra مع سر العميل ومنح أذونات على DCR. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام بيانات اعتماد عميل OAuth v2.

2. الاحتفاظ بتفاصيل نقطة نهاية جمع البيانات ومعلومات المصادقة في Onapsis Defender Integration

شارك عنوان URL لنقطة نهاية جمع البيانات ومعلومات المصادقة مع مسؤول Onapsis Defender Integration لتكوين Onapsis Defender Integration لإرسال البيانات إلى نقطة نهاية جمع البيانات.

  • معرف المستأجر | استخدم هذه القيمة للتكوين كمعرف المستأجر: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف تطبيق Entra | استخدم هذه القيمة لمعرف العميل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra سر التطبيق | استخدم هذه القيمة للرمز المميز: <قيمة متغيرة متوفرة في وقت التثبيت>
  • LogIngestionURL | استخدم هذه القيمة لمعلمة عنوان URL: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف DCR غير قابل للتغيير | استخدم هذه القيمة للمعلمة DCR_ID: <قيمة متغيرة متوفرة في وقت التثبيت>



OneLogin IAM Platform (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات OneLogin القدرة على استيعاب أحداث OneLogin IAM Platform الشائعة في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST باستخدام واجهة برمجة تطبيقات أحداث OneLogin وواجهة برمجة تطبيقاتمستخدمي OneLogin. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OneLoginEventsV2_CL نعم نعم
OneLoginUsersV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • بيانات اعتماد واجهة برمجة تطبيقات OneLogin IAM: لإنشاء بيانات اعتماد واجهة برمجة التطبيقات، اتبع ارتباط المستند المتوفر هنا، انقر هنا. تأكد من أن يكون لديك نوع حساب إما لمالك الحساب أو المسؤول لإنشاء بيانات اعتماد واجهة برمجة التطبيقات. بمجرد إنشاء بيانات اعتماد واجهة برمجة التطبيقات، تحصل على معرف العميل وسر العميل.

إرشادات الإعداد:

توصيل OneLogin IAM Platform Microsoft Sentinel

لاستيعاب البيانات من OneLogin IAM إلى Microsoft Sentinel، يجب النقر فوق الزر Add Domain أدناه ثم تحصل على نافذة منبثقة لملء التفاصيل وتوفير المعلومات المطلوبة والنقر فوق Connect. يمكنك رؤية نقاط نهاية المجال متصلة في الشبكة.

  • شبكة موصلات البيانات (تكوين في المدخل)



OneTrust

مدعوم من قبل:OneTrust، LLC

يوفر موصل OneTrust Microsoft Sentinel القدرة على رؤية قريبة من الوقت الحقيقي لمكان وجود البيانات الحساسة أو معالجتها عبر Google Cloud ومصادر البيانات الأخرى المدعومة من OneTrust.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OneTrustMetadataV3_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR). يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يقرأ هذا الموصل البيانات من الجداول التي يستخدمها OneTrust في مساحة عمل Microsoft Analytics. إذا تم تمكين خيار إعادة توجيه بيانات OneTrust، فيمكن إرسال بيانات الحدث الأولية إلى واجهة برمجة تطبيقات Microsoft Sentinel الاستيعاب.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. دفع سجلاتك إلى مساحة العمل

استخدم المعلمات التالية لتكوين جهازك لإرسال السجلات إلى مساحة العمل.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • OneTrust Metadata Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>



فتح موصل بيانات الأنظمة

مدعوم من قبل:Open Systems

يوفر Open Systems Logs API Microsoft Sentinel Connector القدرة على استيعاب سجلات Open Systems في Microsoft Sentinel باستخدام Open Systems Logs API.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OpenSystemsZtnaLogs_CL نعم نعم
OpenSystemsFirewallLogs_CL لا لا
OpenSystemsAuthenticationLogs_CL لا لا
OpenSystemsProxyLogs_CL لا لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure تطبيقات الحاوية و DCRs و DCEs: مطلوب أذونات لنشر تطبيقات الحاوية Azure والبيئات المدارة وقواعد جمع البيانات (DCRs) ونقاط نهاية تجميع البيانات (DCEs). يتم تغطية هذا عادة من خلال وجود دور "المساهم" في الاشتراك أو مجموعة الموارد.
  • أذونات تعيين الدور: أذونات إنشاء تعيينات الأدوار (على وجه التحديد "مراقبة ناشر المقاييس" على DCRs) مطلوبة لنشر المستخدم أو كيان الخدمة.
  • بيانات الاعتماد المطلوبة لقالب ARM: أثناء التوزيع، ستحتاج إلى توفير: نقطة نهاية واجهة برمجة تطبيقات سجلات الأنظمة المفتوحة سلسلة الاتصال وبيانات اعتماد كيان الخدمة (معرف العميل، سر العميل، معرف الكائن/المعرف الأساسي).
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • المتطلبات الأساسية المخصصة إذا لزم الأمر، وإلا احذف علامة الجمارك هذه: وصف لأي متطلبات مسبقة مخصصة

إرشادات الإعداد:

الخطوة 1: المتطلبات الأساسية

تأكد من أن لديك المعلومات والأذونات التالية قبل المتابعة:

  1. افتح نقطة نهاية واجهة برمجة تطبيقات سجلات الأنظمة وسلسلة الاتصال.
  2. بيانات اعتماد كيان الخدمة (معرف العميل، سر العميل، معرف الكائن/المعرف الأساسي).
  3. أذونات لنشر Azure Container Apps والبيئات المدارة وقواعد جمع البيانات (DCRs) ونقاط نهاية تجميع البيانات (DCEs) وإنشاء تعيينات الأدوار (عادة دور "المساهم" في الاشتراك أو مجموعة الموارد).

الخطوة 2: نشر الموصل

انشر قالب ARM لإعداد موارد معالجة البيانات، بما في ذلك قاعدة جمع البيانات والمكونات المرتبطة بها.

  1. انقر فوق الزر Deploy to Azure أدناه. سينقلك هذا إلى مدخل Azure.

    aka.ms

  2. في مدخل Azure، حدد الاشتراك ومجموعة الموارد والمنطقة المطلوبة.

  3. قم بتوفير المعلمات المطلوبة، بما في ذلك تلك التي تم جمعها في خطوة المتطلبات الأساسية (تفاصيل Open Systems Logs API وبيانات اعتماد كيان الخدمة وما إلى ذلك)، عند مطالبتك من قبل معالج التوزيع.

  4. راجع الشروط وانقر فوق Review + create، ثم Create لبدء التوزيع.

الخطوة 3: التحقق بعد التوزيع

بعد التوزيع الناجح:

  1. تحقق من أن تطبيق حاوية Azure الذي يقوم بتشغيل المعالج في حالة "قيد التشغيل".
  2. تحقق من OpenSystemsZtnaLogs_CLالجداول و OpenSystemsAuthenticationLogs_CLOpenSystemsFirewallLogs_CLو في OpenSystemsProxyLogs_CL مساحة عمل Log Analytics للحصول على البيانات الواردة. قد يستغرق ظهور السجلات بعض الوقت بعد الإعداد الأولي.
  3. استخدم نماذج الاستعلامات المتوفرة في علامة التبويب "الخطوات التالية" في صفحة موصل البيانات هذه لعرض سجلاتك وتحليلها.



OpenAI (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يمكنك موصل بيانات OpenAI من استيعاب سجلات التدقيق أو بيانات إكمال الدردشة أو كليهما من مؤسسة OpenAI إلى Microsoft Sentinel من خلال OpenAI API. يستخدم كل نوع بيانات استقصاء REST API منفصلا ويتطلب نوع مفتاح API مختلفا: تتطلب سجلات التدقيق (إجراءات المستخدم، وإدارة مفتاح واجهة برمجة التطبيقات، وتغييرات المؤسسة، وأحداث الأمان) مفتاح واجهة برمجة تطبيقات مسؤول على مستوى المؤسسة، بينما تتطلب عمليات إكمال الدردشة (استخدام النموذج واستهلاك الرمز المميز ومقاييس الأداء) مفتاح واجهة برمجة تطبيقات على مستوى المشروع. يمكنك تكوين نوع بيانات واحد أو كليهما بشكل مستقل. يتم تجميع سجلات التدقيق في جدول OpenAIAuditLogs_CL المخصص (المستعار بواسطة محلل OpenAIAuditLogs). تتم تسوية إكمال الدردشة في جدول ASIM القياسي ASimAgentEventLogs (المستعار من قبل محلل OpenAIChatCompletions) لمراقبة الأمان وتحليل التوافق ومراقبة الاستخدام. راجع وثائق OpenAI API لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OpenAIAuditLogs لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • الوصول إلى OpenAI API: يتطلب كل نوع بيانات نوع مفتاح API مختلفا. مطلوب مفتاح واجهة برمجة تطبيقات مسؤول على مستوى المؤسسة لسجلات التدقيق - يمكن إنشاؤها في إعدادات مؤسسة OpenAI. مطلوب مفتاح واجهة برمجة تطبيقات على مستوى المشروع لإكمال الدردشة - يمكن إنشاؤها ضمن مشروع معين في لوحة معلومات OpenAI. يمكنك تكوين سجلات التدقيق أو إكمال الدردشة أو كليهما بشكل مستقل.

إرشادات الإعداد:

معلومات الاتصال

تفاصيل حول الاتصالات المستخدمة لجمع البيانات من واجهة برمجة تطبيقات OpenAI.

  • سجلات التدقيق (OpenAIAuditLogs):
  • استخدم مفاتيح واجهة برمجة تطبيقات المسؤول على مستوى المؤسسة.
  • يجب تمكين تسجيل التدقيق في إعدادات مؤسسة OpenAI. يمكن لمالكي المؤسسة الانتقال إلى OpenAI Organization settings ->Data controls ->Data retention لتمكين تسجيل التدقيق.
  • بمجرد تمكين تسجيل تدقيق OpenAI، لا يمكن تعطيله دون الاتصال بدعم OpenAI.
  • إكمال الدردشة (ASimAgentEventLogs):
  • استخدم مفاتيح واجهة برمجة التطبيقات على مستوى المشروع.
  • سيتم جمع عمليات إكمال الدردشة التي تم إنشاؤها باستخدام المعلمة store المعينة إلى true فقط.
  • تتم تسوية إكمال الدردشة في الجدول القياسي ASimAgentEventLogs ASIM.
  • قد يتطلب حذف عمليات إكمال الدردشة المخزنة أثناء نشاط هذا الموصل قطع الاتصال وإعادة الاتصال لإعادة تعيين حالة جمع البيانات.

إضافة اتصال سجلات تدقيق OpenAI

أدخل بيانات اعتماد OpenAI API لجمع بيانات سجلات التدقيق من OpenAI API.

إضافة اتصال إكمال دردشة OpenAI

أدخل بيانات اعتماد OpenAI API لجمع بيانات إكمال الدردشة من OpenAI API.

  • شبكة موصلات البيانات (تكوين في المدخل)



Oracle Cloud Infrastructure (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Oracle Cloud Infrastructure (OCI) القدرة على استيعاب سجلات OCI من Stream OCI إلى Microsoft Sentinel باستخدام واجهة برمجة تطبيقات REST لتدفق OCI.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OCI_LogsV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • وصول OCI Streaming API: مطلوب الوصول إلى واجهة برمجة تطبيقات تدفق OCI من خلال مفاتيح توقيع واجهة برمجة التطبيقات.

إرشادات الإعداد:

اتصل بواجهة برمجة تطبيقات تدفق OCI لبدء جمع سجلات الأحداث في Microsoft Sentinel

  1. سجل الدخول إلى وحدة تحكم OCI والوصول إلى قائمة التنقل.
  2. في قائمة التنقل، انتقل إلى "التحليلات & الذكاء الاصطناعي" -> "البث".
  3. انقر فوق "إنشاء Stream".
  4. حدد "تجمع Stream" موجود أو أنشئ تجمعا جديدا.
  5. أدخل التفاصيل التالية:
    • "اسم Stream"
    • "الاستبقاء"
    • "عدد الأقسام"
    • "إجمالي معدل الكتابة"
    • "إجمالي معدل القراءة" (استنادا إلى حجم البيانات)
  6. في قائمة التنقل، انتقل إلى "التسجيل" -> "موصلات الخدمة".
  7. انقر فوق "إنشاء موصل الخدمة".
  8. أدخل التفاصيل التالية:
    • "اسم الموصل"
    • "الوصف"
    • "حجرة الموارد"
  9. حدد "المصدر": "التسجيل".
  10. حدد "Target": "Streaming".
  11. (اختياري) تكوين "مجموعة السجل" أو "عوامل التصفية" أو استخدام "استعلام بحث مخصص" لدفق السجلات المطلوبة فقط.
  12. قم بتكوين "الهدف" عن طريق تحديد الدفق الذي تم إنشاؤه مسبقا.
  13. انقر فوق "إنشاء".
  14. اتبع الوثائق لإنشاء مفتاح خاص وملف تكوين مفتاح API. احفظ ملف Pem، عبارة المرور (اختياري، لم يتم تعيينه عند استخدام وحدة تحكم OCI لإنشاء زوج مفاتيح توقيع واجهة برمجة التطبيقات) وبصمة الإصبع في مكان آمن للاستخدام عند الاتصال.
  • شبكة موصلات البيانات (تكوين في المدخل)



تنبيهات أمان Orca

مدعوم من قبل:Orca Security

يسمح لك موصل تنبيهات أمان Orca بتصدير سجلات التنبيهات بسهولة إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
OrcaAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

اتبع الإرشادات لدمج سجلات تنبيهات أمان Orca مع Microsoft Sentinel.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



Palo Alto Cortex XDR

مدعوم من قبل:Microsoft Corporation

يسمح موصل بيانات Palo Alto Cortex XDR استيعاب السجلات من واجهة برمجة تطبيقات Palo Alto Cortex XDR في Microsoft Sentinel. تم إنشاء موصل البيانات على Microsoft Sentinel Codeless Connector Framework. يستخدم Palo Alto Cortex XDR API لجلب السجلات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل بيانات الأمان المستلمة في جدول مخصص بحيث لا تحتاج الاستعلامات إلى تحليلها مرة أخرى، مما يؤدي إلى أداء أفضل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
PaloAltoCortexXDR_Incidents_CL نعم نعم
PaloAltoCortexXDR_Endpoints_CL نعم نعم
PaloAltoCortexXDR_Audit_Management_CL نعم نعم
PaloAltoCortexXDR_Audit_Agent_CL نعم نعم
PaloAltoCortexXDR_Alerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات Palo Alto Cortex XDR اتبع الإرشادات للحصول على بيانات الاعتماد. يمكنك أيضا اتباع هذا الدليل لإنشاء مفتاح API.

  1. استرداد عنوان URL لواجهة برمجة التطبيقات 1.1. سجل الدخول إلى Palo Alto Cortex XDR [وحدة تحكم الإدارة] باستخدام بيانات اعتماد المستخدم مسؤول 1.2. في [وحدة تحكم الإدارة]، انقر فوق [الإعدادات] -> [التكوينات] 1.3. ضمن [عمليات التكامل] انقر على [مفاتيح واجهة برمجة التطبيقات]. 1.4. في صفحة [الإعدادات] انقر فوق [نسخ عنوان URL لواجهة برمجة التطبيقات] في الزاوية العلوية اليسرى.

  2. استرداد الرمز المميز لواجهة برمجة التطبيقات 2.1. سجل الدخول إلى Palo Alto Cortex XDR [وحدة تحكم الإدارة] باستخدام بيانات اعتماد المستخدم مسؤول 2.2. في [وحدة تحكم الإدارة]، انقر فوق [الإعدادات] -> [التكوينات] 2.3. ضمن [عمليات التكامل] انقر على [مفاتيح واجهة برمجة التطبيقات]. 2.4. في صفحة [الإعدادات] انقر فوق [مفتاح جديد] في الزاوية العلوية اليمنى. 2.5. اختر مستوى الأمان والدور واختر Standard وانقر فوق [إنشاء] 2.6. نسخ الرمز المميز لواجهة برمجة التطبيقات، بمجرد إنشاء [معرف الرمز المميز لواجهة برمجة التطبيقات] يمكن العثور عليه ضمن عمود المعرف

  • عنوان URL لواجهة برمجة التطبيقات الأساسية: (https://api-example.xdr.au.paloaltonetworks.com)
  • معرف مفتاح API: (معرف واجهة برمجة التطبيقات)
  • الرمز المميز لواجهة برمجة التطبيقات: (رمز API المميز)
  • تمكين/تعطيل الاتصال



Palo Alto Cortex Xpanse (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يدمج موصل بيانات Palo Alto Cortex Xpanse بيانات التنبيهات في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CortexXpanseAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل Palo Alto Xpanse Microsoft Sentinel

لاستيعاب البيانات من Palo Alto Cortex Xpanse إلى Microsoft Sentinel، انقر فوق إضافة مجال. املأ التفاصيل المطلوبة في النافذة المنبثقة وانقر فوق اتصال. سترى نقاط نهاية المجال المتصلة في الشبكة أدناه. للحصول على معرف المصادقة ومفتاح API، انتقل إلى الإعدادات → التكوين → التكاملات → مفاتيح واجهة برمجة التطبيقات في مدخل Cortex Xpanse وإنشاء بيانات اعتماد جديدة.

  • شبكة موصلات البيانات (تكوين في المدخل)



Palo Alto Prisma Cloud CSPM (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يسمح لك موصل بيانات Palo Alto Prisma Cloud CSPM بالاتصال بمثيل Palo Alto Prisma Cloud CSPM واستيعاب التنبيهات (https://pan.dev/prisma-cloud/api/cspm/alerts/) & سجلات التدقيق (https://pan.dev/prisma-cloud/api/cspm/audit-logs/) في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
PaloAltoPrismaCloudAlertV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل أحداث Palo Alto Prisma Cloud CSPM ب Microsoft Sentinel

للحصول على مزيد من المعلومات حول كيفية الحصول على Prisma Cloud Access Key وSecret Key وعنوان URL الأساسي، يرجى الرجوع إلىالبرنامج التعليمي للموصل، وتوفير المعلومات المطلوبة أدناه والنقر فوق Connect.

  • Prisma Cloud Access Key: (أدخل مفتاح الوصول)
  • Prisma Cloud Secret Key: (أدخل Secret Key)
  • عنوان URL الأساسي ل Prisma Cloud: (https://api2.eu.prismacloud.io)
  • تمكين/تعطيل الاتصال
  • شبكة موصلات البيانات (تكوين في المدخل)



Palo Alto Prisma Cloud CWPP (باستخدام واجهة برمجة تطبيقات REST)

مدعوم من قبل:Microsoft Corporation

يسمح لك موصل بيانات Palo Alto Prisma Cloud CWPP بالاتصال بمثيل Palo Alto Prisma Cloud CWPP واستيعاب التنبيهات في Microsoft Sentinel. تم إنشاء موصل البيانات على إطار عمل موصل بدون تعليمات برمجية Microsoft Sentinel ويستخدم واجهة برمجة تطبيقات Prisma Cloud لجلب أحداث الأمان ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل بيانات حدث الأمان المستلمة إلى أعمدة مخصصة بحيث لا تحتاج الاستعلامات إلى تحليلها مرة أخرى، مما يؤدي إلى أداء أفضل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
PrismaCloudCompute_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • PrismaCloudCompute API Key: مطلوب اسم مستخدم وكلمة مرور Palo Alto Prisma Cloud CWPP Monitor API. لمزيد من المعلومات، راجع PrismaCloudCompute SIEM API.

إرشادات الإعداد:

توصيل أحداث أمان Palo Alto Prisma Cloud CWPP Microsoft Sentinel

لتمكين أحداث أمان Palo Alto Prisma Cloud CWPP Microsoft Sentinel، قم بتوفير المعلومات المطلوبة أدناه وانقر فوق Connect.

  • المسار إلى وحدة التحكم: (europe-west3.cloud.twistlock.com/{sasid})
  • Prisma Access Key (API):(Prisma Access Key (API))
  • البيانات السرية: (بيانات سرية)
  • تمكين/تعطيل الاتصال



Pathlock Inc.: الكشف عن التهديدات والاستجابة لها ل SAP

مدعوم من قبل:Pathlock Inc.

يوفر تكامل الكشف عن التهديدات والاستجابة لها (TD&R) مع Microsoft Sentinel Solution ل SAP رؤية موحدة في الوقت الحقيقي لأحداث أمان SAP، ما يتيح للمؤسسات اكتشاف التهديدات والعمل عليها عبر جميع مناظر SAP الطبيعية. يسمح هذا التكامل الجاهز لمراكز عمليات الأمان (SOCs) بربط التنبيهات الخاصة ب SAP ببيانات تتبع الاستخدام على مستوى المؤسسة، ما يؤدي إلى إنشاء معلومات ذكية قابلة للتنفيذ تربط أمان تكنولوجيا المعلومات بالعمليات التجارية.

تم إنشاء موصل Pathlock لغرض SAP ويحيل الأحداث ذات الصلة بالأمان فقط بشكل افتراضي، ما يقلل من حجم البيانات والضوضاء مع الحفاظ على المرونة لإعادة توجيه جميع مصادر السجل عند الحاجة. يتم إثراء كل حدث بسياق عملية الأعمال، ما يسمح Microsoft Sentinel Solution لتحليلات SAP بتمييز الأنماط التشغيلية عن التهديدات الحقيقية وتحديد أولويات ما يهم حقا.

يساعد هذا النهج القائم على الدقة فرق الأمان على تقليل الإيجابيات الخاطئة بشكل كبير، والتركيز على التحقيقات، وتسريع متوسط الوقت للكشف عن (MTTD)ووقت متوسط الاستجابة (MTTR). تتكون مكتبة Pathlock من أكثر من 1500 توقيع كشف خاص ب SAP عبر أكثر من 70 مصدر سجل، ويكشف الحل عن سلوكيات الهجوم المعقدة، ونقاط ضعف التكوين، والوصول إلى الحالات الشاذة.

من خلال الجمع بين التحليل الذكي لسياق الأعمال والتحليلات المتقدمة، يمكن Pathlock المؤسسات من تعزيز دقة الكشف، وتبسيط إجراءات الاستجابة، والحفاظ على التحكم المستمر عبر بيئات SAP الخاصة بهم - دون إضافة طبقات تعقيد أو مراقبة زائدة عن الحاجة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ABAPAuditLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قواعد جمع البيانات. يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

سنقوم بإنشاء موارد قاعدة جمع البيانات (DCR) ونقطة نهاية جمع البيانات (DCE). سنقوم أيضا بإنشاء تسجيل تطبيق Microsoft Entra وتعيين الأذونات المطلوبة له.

سيؤدي النشر التلقائي لموارد Azure النقر على "توزيع موارد موصل الدفع" إلى إنشاء موارد DCR وDCE. ثم سيقوم بإنشاء تسجيل تطبيق Microsoft Entra مع سر العميل ومنح أذونات على DCR. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام بيانات اعتماد عميل OAuth v2.

2. الاحتفاظ بتفاصيل نقطة نهاية جمع البيانات ومعلومات المصادقة في المثيل المركزي لعناصر تحكم تطبيق الأمان عبر الإنترنت الخاصة ب Pathlock: الكشف عن التهديدات والاستجابة لها

شارك عنوان URL لنقطة نهاية جمع البيانات ومعلومات المصادقة مع مسؤول Pathlock لتكوين المكون الإضافي وتشغيل إعادة التوجيه في الكشف عن التهديدات والاستجابة لإرسال البيانات إلى نقطة نهاية جمع البيانات. يرجى عدم التردد في الاتصال ب Pathlock إذا كانت هناك حاجة إلى الدعم.

  • استخدم هذه القيمة للتكوين كمعرف المستأجر في بيانات اعتماد LogIngestionAPI.: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra Application Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • استخدم هذه القيمة لتكوين المعلمة LogsIngestionURL عند نشر IFlow.: <قيمة المتغير المتوفرة في وقت التثبيت>
  • معرف DCR غير قابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>



سجلات نشاط Perimeter 81

مدعوم من قبل:Perimeter 81

يسمح لك موصل سجلات نشاط Perimeter 81 بتوصيل سجلات نشاط Perimeter 81 بسهولة Microsoft Sentinel، لعرض لوحات المعلومات، وإنشاء تنبيهات مخصصة، وتحسين التحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Perimeter81_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

يرجى ملاحظة القيم أدناه واتباع الإرشادات هنا لتوصيل سجلات نشاط Perimeter 81 Microsoft Sentinel.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



أجهزة الفوسفور

مدعوم من قبل:شركة الفوسفور

يوفر موصل جهاز الفوسفور القدرة على الفوسفور لاستيعاب سجلات بيانات الجهاز في Microsoft Sentinel من خلال واجهة برمجة تطبيقات Rest للفوسفور. يوفر الموصل رؤية للأجهزة المسجلة في الفوسفور. يسحب موصل البيانات هذا معلومات الأجهزة جنبا إلى جنب مع التنبيهات المقابلة له.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Phosphorus_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مفتاح واجهة برمجة تطبيقات الفوسفور مطلوب. يرجى التأكد من تمكين أذونات إدارة الإعدادات لمفتاح واجهة برمجة التطبيقات المقترن بالمستخدم.

اتبع هذه الإرشادات لتمكين أذونات إدارة الإعدادات.

  1. تسجيل الدخول إلى تطبيق الفوسفور
  2. انتقل إلى "الإعدادات" -> "المجموعات"
  3. حدد المجموعة التي يعد مستخدم التكامل جزءا منها
  4. انتقل إلى "إجراءات المنتج" -> قم بالتبديل على إذن "إدارة الإعدادات".

إرشادات الإعداد:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات الفوسفور

اتبع هذه الإرشادات لإنشاء مفتاح واجهة برمجة تطبيقات الفوسفور.

  1. تسجيل الدخول إلى مثيل الفوسفور الخاص بك
  2. انتقل إلى الإعدادات -> واجهة برمجة التطبيقات
  3. إذا لم يتم إنشاء مفتاح API بالفعل، فاضغط على الزر Add لإنشاء مفتاح API
  4. يمكن الآن نسخ مفتاح API واستخدامه أثناء تكوين موصل جهاز الفوسفور

توصيل تطبيق الفوسفور باستخدام Microsoft Sentinel

الخطوة 2 - املأ التفاصيل أدناه

الهامه: قبل نشر موصل بيانات جهاز الفوسفور، يكون اسم مجال مثيل الفوسفور متاحا بسهولة بالإضافة إلى مفتاح (مفاتيح) واجهة برمجة تطبيقات الفوسفور



Ping One (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يدمج هذا الموصل سجلات نشاط التدقيق من النظام الأساسي ل PingOne Identity إلى Microsoft Sentinel باستخدام إطار عمل موصل بدون تعليمات برمجية.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
PingOne_AuditActivitiesV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل موصل Ping One Microsoft Sentinel

قبل الاتصال ب PingOne، تأكد من اكتمال المتطلبات الأساسية التالية. راجع المستند للحصول على إرشادات إعداد مفصلة، بما في ذلك كيفية الحصول على بيانات اعتماد العميل ومعرف البيئة.

  1. بيانات اعتماد العميل ستحتاج إلى بيانات اعتماد العميل، بما في ذلك معرف العميل وسر العميل.

  2. معرف البيئة
    لإنشاء رمز مميز وجمع السجلات من نقطة نهاية أنشطة التدقيق

  • شبكة موصلات البيانات (تكوين في المدخل)



موصل بيانات Prancer

مدعوم من قبل:Prancer PenSuiteAI Integration

يوفر موصل بيانات Prancer القدرة على استيعاب بيانات Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] وبيانات PAC لمعالجتها من خلال Microsoft Sentinel. راجع وثائق Prancer لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
prancer_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • تضمين المتطلبات المسبقة المخصصة إذا كان الاتصال يتطلب - وإلا حذف الجمارك: وصف لأي شرط مسبق مخصص

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Prancer REST لسحب السجلات إلى Microsoft sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

الخطوة 1: اتبع الوثائق الموجودة على موقع وثائق Prancer لإعداد فحص باستخدام موصل سحابة Azure.

الخطوة 2: بمجرد إنشاء الفحص، انتقل إلى قائمة "تكاملات الجزء الثالث" للمسح الضوئي وحدد Sentinel.

الخطوة 3: إنشاء اتبع معالج التكوين لتحديد المكان الذي يجب إرسال النتائج إليه في Azure.

الخطوة 4: يجب أن تبدأ البيانات في تغذية Microsoft Sentinel للمعالجة.



تحليل ذكي للمخاطر في Microsoft Defender المتميزة

مدعوم من قبل:Microsoft Corporation

يوفر لك Microsoft Sentinel القدرة على استيراد التحليل الذكي للمخاطر الذي أنشأته Microsoft لتمكين المراقبة والتنبيه والتتبع. استخدم موصل البيانات هذا لاستيراد مؤشرات التسوية (IOCs) من Premium تحليل ذكي للمخاطر في Microsoft Defender (MDTI) إلى Microsoft Sentinel. يمكن أن تتضمن مؤشرات التهديد عناوين IP والمجالات وعناوين URL وتجزئات الملفات وما إلى ذلك. ملاحظة: هذا موصل مدفوع. لاستخدام البيانات واستيعابها منها، يرجى شراء SKU "MDTI API Access" من مركز الشركاء.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Proofpoint عند الطلب أمان البريد الإلكتروني (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Proofpoint, Inc.

يوفر موصل بيانات Proofpoint On Demand Email Security القدرة على الحصول على بيانات Proofpoint on Demand Email Protection، ويسمح للمستخدمين بالتحقق من إمكانية تتبع الرسائل والمراقبة في نشاط البريد الإلكتروني والتهديدات واختراق البيانات من قبل المهاجمين والمتسللين الضارين. يوفر الموصل القدرة على مراجعة الأحداث في مؤسستك على أساس متسارع، والحصول على ملفات سجل الأحداث بزيادات كل ساعة للنشاط الأخير.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ProofpointPODMailLog_CL نعم نعم
ProofpointPODMessage_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات Websocket: ProofpointClusterID و ProofpointToken مطلوبان. لمزيد من المعلومات، راجع واجهة برمجة التطبيقات.

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات Proofpoint POD Websocket

لا تسمح واجهة برمجة تطبيقات سجل PoD باستخدام نفس الرمز المميز لأكثر من جلسة عمل واحدة في نفس الوقت، لذا تأكد من عدم استخدام الرمز المميز الخاص بك في أي مكان.

تتطلب خدمة Proofpoint Websocket API ترخيص إعادة توجيه Syslog عن بعد. يرجى الرجوع إلى الوثائق حول كيفية تمكين واجهة برمجة تطبيقات سجل PoD والتحقق منها. يجب توفير معرف نظام المجموعة ورمز الأمان المميز.

  1. استرداد معرف نظام المجموعة 1.1. تسجيل الدخول إلى نقطة التدقيق [وحدة تحكم الإدارة] باستخدام بيانات اعتماد المستخدم مسؤول

    1.2. في وحدة تحكم الإدارة، يتم عرض معرف نظام المجموعة في الزاوية العلوية اليسرى.

  2. استرداد الرمز المميز لواجهة برمجة التطبيقات 2.1. تسجيل الدخول إلى نقطة التدقيق [وحدة تحكم الإدارة] باستخدام بيانات اعتماد المستخدم مسؤول

2.2. في وحدة تحكم الإدارة، انقر فوق الإعدادات -> إدارة مفاتيح واجهة برمجة التطبيقات

2.3. ضمن API Key Management، انقر فوق علامة التبويب PoD Logging .

2.4. الحصول على مفتاح API جديد أو إنشائه.

  • معرف نظام المجموعة: (cluster_id)
  • مفتاح واجهة برمجة التطبيقات: (مفتاح واجهة برمجة التطبيقات)
  • تمكين/تعطيل الاتصال



Proofpoint عند الطلب أمان البريد الإلكتروني (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Proofpoint On Demand Email Security القدرة على الحصول على بيانات Proofpoint on Demand Email Protection، ويسمح للمستخدمين بالتحقق من إمكانية تتبع الرسائل والمراقبة في نشاط البريد الإلكتروني والتهديدات واختراق البيانات من قبل المهاجمين والمتسللين الضارين. يوفر الموصل القدرة على مراجعة الأحداث في مؤسستك على أساس متسارع، والحصول على ملفات سجل الأحداث بزيادات كل ساعة للنشاط الأخير.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ProofpointPODMailLog_CL نعم نعم
ProofpointPODMessage_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات Websocket: ProofpointClusterID و ProofpointToken مطلوبان. لمزيد من المعلومات، راجع واجهة برمجة التطبيقات.

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات Proofpoint POD Websocket

لا تسمح واجهة برمجة تطبيقات سجل PoD باستخدام نفس الرمز المميز لأكثر من جلسة عمل واحدة في نفس الوقت، لذا تأكد من عدم استخدام الرمز المميز الخاص بك في أي مكان.

تتطلب خدمة Proofpoint Websocket API ترخيص إعادة توجيه Syslog عن بعد. يرجى الرجوع إلى الوثائق حول كيفية تمكين واجهة برمجة تطبيقات سجل PoD والتحقق منها. يجب توفير معرف نظام المجموعة ورمز الأمان المميز.

  1. استرداد معرف نظام المجموعة 1.1. تسجيل الدخول إلى نقطة التدقيق [وحدة تحكم الإدارة] باستخدام بيانات اعتماد المستخدم مسؤول

    1.2. في وحدة تحكم الإدارة، يتم عرض معرف نظام المجموعة في الزاوية العلوية اليسرى.

  2. استرداد الرمز المميز لواجهة برمجة التطبيقات 2.1. تسجيل الدخول إلى نقطة التدقيق [وحدة تحكم الإدارة] باستخدام بيانات اعتماد المستخدم مسؤول

2.2. في وحدة تحكم الإدارة، انقر فوق الإعدادات -> إدارة مفاتيح واجهة برمجة التطبيقات

2.3. ضمن API Key Management، انقر فوق علامة التبويب PoD Logging .

2.4. الحصول على مفتاح API جديد أو إنشائه.

  • معرف نظام المجموعة: (cluster_id)
  • مفتاح واجهة برمجة التطبيقات: (مفتاح واجهة برمجة التطبيقات)
  • تمكين/تعطيل الاتصال



Proofpoint TAP (عبر Codeless Connector Framework)

مدعوم من قبل:Proofpoint, Inc.

يوفر موصل Proofpoint Targeted Attack Protection (TAP) القدرة على استيعاب سجلات وأحداث Proofpoint TAP في Microsoft Sentinel. يوفر الموصل رؤية لأحداث الرسائل والنقر في Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين قدرات المراقبة والتحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ProofPointTAPMessagesDeliveredV2_CL نعم نعم
ProofPointTAPMessagesBlockedV2_CL نعم نعم
ProofPointTAPClicksPermittedV2_CL نعم نعم
ProofPointTAPClicksBlockedV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • مفتاح Proofpoint TAP API: مطلوب كيان خدمة Proofpoint TAP API والبيانات السرية للوصول إلى واجهة برمجة تطبيقات SIEM الخاصة ب Proofpoint. لمزيد من المعلومات، راجع Proofpoint SIEM API.

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات Proofpoint TAP

  1. تسجيل الدخول إلى لوحة معلومات Proofpoint TAP
  2. انتقل إلى الإعدادات وانتقل إلى علامة التبويب التطبيقات المتصلة
  3. انقر فوق إنشاء بيانات اعتماد جديدة
  4. أدخل اسما وانقر فوق إنشاء
  5. نسخ القيم الأساسية والبيانات السرية للخدمة

ملاحظه: يعتمد هذا الموصل على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع ProofpointTAPEvent الذي يتم نشره باستخدام Microsoft Sentinel Solution.

  • كيان الخدمة: (123456)
  • البيانات السرية: (123456)
  • تمكين/تعطيل الاتصال



Proofpoint TAP (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل Proofpoint Targeted Attack Protection (TAP) القدرة على استيعاب سجلات وأحداث Proofpoint TAP في Microsoft Sentinel. يوفر الموصل رؤية لأحداث الرسائل والنقر في Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين قدرات المراقبة والتحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ProofPointTAPMessagesDeliveredV2_CL نعم نعم
ProofPointTAPMessagesBlockedV2_CL نعم نعم
ProofPointTAPClicksPermittedV2_CL نعم نعم
ProofPointTAPClicksBlockedV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • مفتاح Proofpoint TAP API: مطلوب كيان خدمة Proofpoint TAP API والبيانات السرية للوصول إلى واجهة برمجة تطبيقات SIEM الخاصة ب Proofpoint. لمزيد من المعلومات، راجع Proofpoint SIEM API.

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات Proofpoint TAP

  1. تسجيل الدخول إلى لوحة معلومات Proofpoint TAP
  2. انتقل إلى الإعدادات وانتقل إلى علامة التبويب التطبيقات المتصلة
  3. انقر فوق إنشاء بيانات اعتماد جديدة
  4. أدخل اسما وانقر فوق إنشاء
  5. نسخ القيم الأساسية والبيانات السرية للخدمة

ملاحظه: يعتمد هذا الموصل على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع ProofpointTAPEvent الذي يتم نشره باستخدام Microsoft Sentinel Solution.

  • كيان الخدمة: (123456)
  • البيانات السرية: (123456)
  • تمكين/تعطيل الاتصال



QscoutAppEventsConnector (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Quokka

استيعاب أحداث تطبيق Qscout في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
QscoutAppEvents_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • معرف مؤسسة Qscout: تتطلب واجهة برمجة التطبيقات معرف مؤسستك في Qscout.
  • مفتاح واجهة برمجة تطبيقات مؤسسة Qscout: تتطلب واجهة برمجة التطبيقات مفتاح واجهة برمجة تطبيقات مؤسستك في Qscout.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل Codeless Connector Framework (CCF) للاتصال بموجز أحداث تطبيق Qscout واستيعاب البيانات في Microsoft Sentinel

قم بتوفير القيم المطلوبة أدناه:

  • معرف مؤسسة Qscout: (123456)
  • مفتاح واجهة برمجة تطبيقات مؤسسة Qscout: (abcdxyz)
  • تمكين/تعطيل الاتصال



Qualys Knowledge Base (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

استيعاب بيانات الثغرات الأمنية في قاعدة معارف Qualys في Microsoft Sentinel باستخدام الإصدار 4.0 من Qualys API.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
QualysKnowledgeBase نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الوصول إلى Qualys API: يتطلب حساب مستخدم Qualys مع الوصول للقراءة إلى نقاط نهاية قاعدة المعارف.

إرشادات الإعداد:

الخطوة 1: تعيين بيانات الاعتماد توفير بيانات اعتماد واجهة برمجة تطبيقات Qualys لتمكين استيعاب البيانات من قاعدة معارف Qualys.

لجمع البيانات من Qualys VM، تحتاج إلى توفير الموارد التالية:

  • بيانات اعتماد واجهة برمجة التطبيقات: اسم المستخدم وكلمة المرور لحساب لديه حق الوصول للقراءة إلى واجهة برمجة تطبيقات قاعدة المعارف. يمكنك العثور على الأذونات الدقيقة المطلوبة في وثائق Qualys API.

  • عنوان URL لخادم API: عنوان URL لخادم Qualys API الخاص بمنطقتك. يمكنك العثور على عنوان URL الدقيق لخادم API لمنطقتك هنا

  • عنوان URL لخادم API: (أدخل عنوان URL لخادم API)

  • اسم المستخدم: (أدخل اسم مستخدم Qualys)

  • كلمة المرور: (أدخل كلمة مرور Qualys أو الرمز المميز) الخطوة 2: تعيين أي عوامل تصفية اختيارية

تكوين عوامل التصفية الاختيارية لتخصيص الثغرات الأمنية التي يتم استيعابها. تعرف على المزيد حول عوامل التصفية المتوفرة في وثائق Qualys API.

2أ. تصفية حسب حالة التصحيح اختر لإظهار الثغرات الأمنية القابلة للتصحيح أو غير القابلة للتصحيح فقط.

2 ب. تصفية حسب أسلوب الاكتشاف وأنواع المصادقة اختر تلقي الثغرات الأمنية المعينة فقط لأسلوب اكتشاف معين أو وجود أنواع مصادقة محددة.

  • أنواع مصادقة الاكتشاف: (على سبيل المثال، Windows وOracle وUniix وSNMP (مفصول بفاصلة)) الخطوة 3: مراجعة إعدادات التكوين وتمكينها وتمكين الموصل من بدء استيعاب بيانات Qualys Knowledge Base في Microsoft Sentinel.

  • تمكين/تعطيل الاتصال



Qualys VM KnowledgeBase (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل KnowledgeBase (KB) لإدارة الثغرات الأمنية Qualys القدرة على استيعاب أحدث بيانات الثغرات الأمنية من Qualys KB إلى Microsoft Sentinel.

يمكن استخدام هذه البيانات لربط وإثراء اكتشافات الثغرات الأمنية التي عثر عليها موصل بيانات Qualys Vulnerability Management (VM ).

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
QualysKB_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • Qualys API Key: مطلوب اسم مستخدم وكلمة مرور Qualys VM API. لمزيد من المعلومات، راجع Qualys VM API.

إرشادات الإعداد:

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار QualysVM Knowledgebase وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا، في السطر الثاني من الاستعلام، أدخل اسم المضيف (أسماء) جهاز (أجهزة) QualysVM Knowledgebase وأي معرفات فريدة أخرى ل logstream. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. اتبع الخطوات لاستخدام الاسم المستعار لدالة Kusto، QualysKB

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Qualys

  1. سجل الدخول إلى وحدة تحكم Qualys Vulnerability Management باستخدام حساب مسؤول، وحدد علامة التبويب Users وعلامة التبويب الفرعية Users .
  2. انقر فوق القائمة المنسدلة New وحدد Users.
  3. إنشاء اسم مستخدم وكلمة مرور لحساب واجهة برمجة التطبيقات.
  4. في علامة التبويب أدوار المستخدم، تأكد من تعيين دور الحساب إلى Manager ويسمح بالوصول إلى واجهة المستخدم الرسومية وواجهة برمجة التطبيقات
  5. سجل الخروج من حساب المسؤول وسجل الدخول إلى وحدة التحكم باستخدام بيانات اعتماد واجهة برمجة التطبيقات الجديدة للتحقق من الصحة، ثم قم بتسجيل الخروج من حساب واجهة برمجة التطبيقات.
  6. سجل الدخول مرة أخرى إلى وحدة التحكم باستخدام حساب مسؤول وقم بتعديل حسابات واجهة برمجة التطبيقات أدوار المستخدم، وإزالة الوصول إلى واجهة المستخدم الرسومية.
  7. احفظ جميع التغييرات.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل Qualys KB، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى اسم المستخدم وكلمة المرور Qualys API، المتوفرين بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل Qualys KB باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل واسم مستخدم واجهة برمجة التطبيقات وكلمة مرور واجهة برمجة التطبيقات وتحديث URI وأي معلمات عامل تصفية URI إضافية (يجب أن تتضمن هذه القيمة رمز "&" بين كل معلمة ويجب ألا تتضمن أي مسافات)

  • أدخل URI الذي يتوافق مع منطقتك. يمكن العثور على القائمة الكاملة لعناوين URL لخادم API هنا
  • ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.
  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
  2. انقر فوق شراء للنشر.
  • ملاحظة: إذا فشل النشر بسبب أخذ اسم حساب التخزين، فقم بتغيير اسم الدالة إلى قيمة فريدة وإعادة التوزيع.

الخيار 2 - النشر اليدوي لوظائف Azure

يوفر هذا الأسلوب إرشادات خطوة بخطوة لنشر موصل Qualys KB يدويا باستخدام Azure Function.

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Configuration.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق السبعة التالية (7) بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): apiUsername apiPassword workspaceID workspaceKey uri filterParameters logAnalyticsUri (اختياري)
  • أدخل URI الذي يتوافق مع منطقتك. يمكن العثور على القائمة الكاملة لعناوين URL لخادم API هنا. uri يجب أن تتبع القيمة المخطط التالي:https://<API Server>/api/2.0
  • أضف أي معلمات عامل تصفية إضافية، للمتغير filterParameters ، والتي تحتاج إلى إلحاقها ب URI. filterParameter يجب أن تتضمن القيمة رمز "&" بين كل معلمة ويجب ألا تتضمن أي مسافات.
  • ملاحظة: إذا كنت تستخدم Azure Key Vault، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المفوضة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Qualys Vulnerability Management (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Qualys Vulnerability Management (VM) القدرة على استيعاب بيانات الكشف عن مضيف الثغرات الأمنية في Microsoft Sentinel من خلال Qualys API. يوفر الموصل رؤية لبيانات الكشف عن المضيف من عمليات فحص قابلية التشغيل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
QualysHostDetectionV3_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الوصول إلى واجهة برمجة التطبيقات والأدوار: تأكد من أن مستخدم Qualys VM له دور القارئ أو أعلى. إذا كان الدور هو Reader، فتأكد من تمكين الوصول إلى واجهة برمجة التطبيقات للحساب. دور المدقق غير مدعوم للوصول إلى واجهة برمجة التطبيقات. لمزيد من التفاصيل، راجع Qualys VM Host Detection API ومستند مقارنة دور المستخدم .

إرشادات الإعداد:

توصيل Qualys Vulnerability Management Microsoft Sentinel

ملاحظة: لجمع البيانات للكشف استنادا إلى المضيف، قم بتوسيع عمود DetectionList في الجدول.

لجمع البيانات من Qualys VM، تحتاج إلى توفير الموارد التالية

  1. بيانات اعتماد واجهة برمجة التطبيقات لجمع البيانات من Qualys VM، ستحتاج إلى بيانات اعتماد Qualys API، بما في ذلك اسم المستخدم وكلمة المرور.

  2. عنوان URL لخادم API لجمع البيانات من Qualys VM، ستحتاج إلى عنوان URL لخادم Qualys API الخاص بمنطقتك. يمكنك العثور على عنوان URL الدقيق لخادم API لمنطقتك هنا

  • Qualys API User Name: (أدخل UserName)
  • Qualys API Password: (أدخل كلمة المرور)
  • Qualys API Server URL: (أدخل عنوان URL لخادم API)
  1. حد الاقتطاع تكوين الحد الأقصى لعدد سجلات المضيف لاسترداد كل استدعاء API (نطاق 20-5000). قد تحسن القيم الأعلى الأداء ولكنها قد تؤثر على أوقات استجابة واجهة برمجة التطبيقات.
  • تمكين/تعطيل الاتصال



Radiflow iSID عبر AMA

مدعوم من قبل:Radiflow

يتيح iSID المراقبة غير المعطلة لشبكات ICS الموزعة للتغييرات في الطوبولوجيا والسلوك، باستخدام حزم أمان متعددة، كل منها يوفر قدرة فريدة تتعلق بنوع معين من نشاط الشبكة

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
RadiflowEvent لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى دالة Kusto للعمل كما هو متوقع [RadiflowEvent] الذي يتم نشره باستخدام Microsoft Sentinel Solution.

1. يرجى اتباع الخطوات لتكوين موصل البيانات

الخطوة أ. تكوين تنسيق الحدث المشترك (CEF) عبر موصل بيانات AMA

ملاحظة:- يتم جمع سجلات CEF فقط من Linux Agents

  1. انتقل إلى Microsoft Sentinel مساحة العمل ---> تكوين ---> شفرة موصل البيانات.

  2. ابحث عن موصل بيانات "Common Event Format (CEF) عبر AMA" وافتحه.

  3. تحقق مما إذا لم يكن هناك DCR موجود تم تكوينه لجمع المرفق المطلوب من السجلات، قم بإنشاء DCR جديد (قاعدة جمع البيانات).

    ملاحظة:- يوصى بتثبيت الحد الأدنى من إصدار 1.27 من عامل AMA معرفة المزيد والتأكد من عدم وجود DCR مكرر لأنه يمكن أن يسبب دوبليكاسي السجل.

  4. قم بتشغيل الأمر المتوفر في CEF عبر صفحة موصل بيانات AMA لتكوين مجمع CEF على الجهاز.

الخطوة ب. تكوين iSID لإرسال السجلات باستخدام CEF

تكوين إعادة توجيه السجل باستخدام CEF:

  1. انتقل إلى قسم System Notifications في قائمة Configuration.

  2. ضمن Syslog، حدد +Add.

  3. في مربع الحوار New Syslog Server، حدد الاسم وعنوان IP للخادم البعيد والمنفذ والنقل وحدد Format - CEF.

  4. اضغط على تطبيق للخروج من مربع الحوار إضافة Syslog.

الخطوة ج. التحقق من صحة الاتصال

اتبع الإرشادات للتحقق من صحة الاتصال:

افتح Log Analytics للتحقق مما إذا تم تلقي السجلات باستخدام مخطط CommonSecurityLog.

قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.

إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python --version

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك

  • قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:: <قيمة متغيرة متوفرة في وقت التثبيت>

**2. تأمين جهازك **

تأكد من تكوين أمان الجهاز وفقا لنهج الأمان الخاص بمؤسستك

التعرف على المزيد >



تقارير إدارة الثغرات الأمنية ل Rapid7 Insight Platform (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات تقرير Rapid7 Insight VM القدرة على استيعاب تقارير الفحص وبيانات الثغرات الأمنية في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST من منصة Rapid7 Insight (مدارة في السحابة). راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
NexposeInsightVMCloud_assets_CL لا لا
NexposeInsightVMCloud_vulnerabilities_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد واجهة برمجة تطبيقات REST: InsightVMAPIKey مطلوب لواجهة برمجة تطبيقات REST. لمزيد من المعلومات، راجع واجهة برمجة التطبيقات. تحقق من جميع المتطلبات واتبع الإرشادات للحصول على بيانات الاعتماد

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Insight VM لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محللات تستند إلى وظيفة Kusto للعمل كما هو متوقع InsightVMAssets و InsightVMVulnerabilities التي يتم توزيعها باستخدام حل Microsoft Sentinel.

الخطوة 1 - خطوات التكوين ل Insight VM Cloud

اتبع الإرشادات للحصول على بيانات الاعتماد.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات مساحة العمل، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات تقرير Rapid7 Insight Vulnerability Management باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل InsightVMAPIKey، واختر InsightVMCloudRegion وانشر. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات تقرير Rapid7 Insight Vulnerability Management يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Configuration.
  3. في علامة التبويب Application settings، حدد New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف):
    InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



تقارير إدارة الثغرات الأمنية ل Rapid7 Insight Platform (عبر إطار عمل الموصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات تقرير Rapid7 Insight VM القدرة على استيعاب تقارير الفحص وبيانات الثغرات الأمنية في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST من منصة Rapid7 Insight (مدارة في السحابة). راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Rapid7InsightVMCloudAssets نعم نعم
Rapid7InsightVMCloudVulnerabilities نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

إرشادات الإعداد:

اتبع الإرشادات لتكوين موصل Rapid7 InsightVM.

ملاحظة: يعتمد موصل البيانات هذا على محللات تستند إلى دالة Kusto للعمل كما هو متوقع InsightVMAssets و InsightVMVulnerabilities التي يتم نشرها مع Microsoft Sentinel Solution.

1. خطوات التكوين لمجموعة Rapid7 Insight VM

اتبع الإرشادات للحصول على بيانات الاعتماد.

  1. في Rapid7 InsightVM، قم بإنشاء مفتاح API.
  2. لاحظ المنطقة ومفتاح واجهة برمجة التطبيقات.
  • المنطقة: (نحن، الاتحاد الأوروبي، إلخ)
  • مفتاح واجهة برمجة التطبيقات: (مفتاح واجهة برمجة التطبيقات)

2. الاتصال

تمكين موصل Rapid7 Insight VM.

  • تمكين/تعطيل الاتصال



أحداث غربلة حمراء (دفع CCF)

مدعوم من قبل:Red Sift

يوفر موصل Red Sift القدرة على استيعاب مصادقة Red Sift وأحداث الطب الشرعي للبريد الإلكتروني في Microsoft Sentinel باستخدام نموذج دفع CCF مع DCE + DCR.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
RedSiftAuth_CL لا لا
RedSiftEmailForensics_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR). يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

انشر DCE وDCR والجدول المخصص وتسجيل تطبيق Entra المستخدم لبيانات اعتماد عميل OAuth.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. تكوين خطاف ويب Red Sift

استخدم المعلمات التالية لتكوين Red Sift لإرسال الأحداث إلى Microsoft Sentinel. استخدم اسم الدفق المناسب لكل نوع حدث.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Auth Events Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Email Forensics Events Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>



معرف RSA بالإضافة إلى مسؤول موصل السجلات

مدعوم من قبل:فريق دعم RSA

يوفر معرف RSA بالإضافة إلى AdminLogs Connector القدرة على استيعاب أحداث تدقيق وحدة تحكم مسؤول السحابية في Microsoft Sentinel باستخدام واجهات برمجة التطبيقات مسؤول السحابية.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
RSAIDPlus_AdminLogs_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مصادقة RSA ID Plus API: للوصول إلى واجهات برمجة التطبيقات مسؤول، يلزم وجود رمز مميز JWT صالح بترميز Base64URL، موقع باستخدام مفتاح واجهة برمجة تطبيقات الإدارة القديمة للعميل.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل Codeless Connector Framework (CCF) للاتصال بواجهات برمجة تطبيقات RSA ID Plus Cloud مسؤول لسحب السجلات إلى Microsoft Sentinel.

الخطوة 1 - إنشاء عميل واجهة برمجة تطبيقات مسؤول قديم في وحدة تحكم مسؤول السحابية.

اتبع الخطوات المذكورة في هذه الصفحة.

الخطوة 2 - إنشاء رمز JWT المميز المشفر Base64URL.

اتبع الخطوات المذكورة في هذه الصفحة ضمن العنوان "واجهة برمجة تطبيقات الإدارة القديمة".

الخطوة 3 - تكوين Cloud مسؤول API لبدء استيعاب سجلات الأحداث مسؤول في Microsoft Sentinel.

قم بتوفير القيم المطلوبة أدناه:

  • عنوان URL لواجهة برمجة التطبيقات مسؤول: (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs>)
  • رمز JWT المميز: (أدخل رمز JWT المميز الخاص بك)

الخطوة 4 - انقر فوق اتصال

تحقق من تعبئة جميع الحقول أعلاه بشكل صحيح. اضغط على Connect لبدء تشغيل الموصل.

  • تمكين/تعطيل الاتصال



موصل بيانات Rubrik Security Cloud (باستخدام دالات Azure)

مدعوم من قبل:Rubrik

يمكن موصل بيانات Rubrik Security Cloud فرق عمليات الأمان من دمج الرؤى من خدمات مراقبة البيانات في Rubrik في Microsoft Sentinel. تتضمن الرؤى تحديد سلوك نظام الملفات الشاذ المرتبط ببرامج الفدية الضارة والحذف الجماعي، وتقييم نصف قطر الانفجار لهجوم برامج الفدية الضارة، وعوامل تشغيل البيانات الحساسة لتحديد أولويات الحوادث المحتملة والتحقيق فيها بسرعة أكبر.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Rubrik_Anomaly_Data_CL نعم نعم
Rubrik_Ransomware_Data_CL نعم نعم
Rubrik_ThreatHunt_Data_CL نعم نعم
Rubrik_Events_Data_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بخطاف الويب Rubrik الذي يدفع سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات Rubrik Microsoft Sentinel، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل Rubrik.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Function Name Workspace ID Key AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Rubrik Microsoft Sentinel يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، RubrikXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.8 أو أعلى.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد + New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، بقيمها الخاصة (حساسة لحالة الأحرف): WorkspaceID WorkspaceKey AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة GovUS Azure، حدد القيمة بالتنسيق التالي: https://< CustomerId.ods.opinsights.azure.us>.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.

خطوات ما بعد النشر

1) الحصول على نقطة نهاية تطبيق الوظائف

  1. انتقل إلى صفحة نظرة عامة على الدالة Azure وانقر فوق علامة التبويب "Functions".
  2. انقر فوق الدالة المسماة "RubrikHttpStarter".
  3. انتقل إلى "GetFunctionurl" وانسخ عنوان url للدالة.

2) إضافة خطاف ويب في RubrikSecurityCloud لإرسال البيانات إلى Microsoft Sentinel.

اتبع إرشادات دليل مستخدم Rubrik لإضافة إخطار على الويب لبدء تلقي معلومات الحدث

  1. حدد Microsoft Sentinel كموفر خطاف الويب
  2. أدخل اسم Webhook المطلوب
  3. أدخل جزء URL من Function-url المنسخ كنقطة نهاية عنوان URL لخطاف الويب واستبدل {functionname} ب "RubrikAnomalyOrchestrator"، لحل Microsoft Sentinel Rubrik
  4. حدد EventType ك Anomaly
  5. حدد مستويات الخطورة التالية: حرج، تحذير، إعلامي
  6. اختر أنواع سجلات متعددة، إذا رغبت في ذلك، عند تشغيل "RubrikEventsOrchestrator"
  7. كرر نفس الخطوات لإضافة خطافات الويب لتحليل الكشف عن الحالات الشاذة والبحث عن التهديدات والأحداث الأخرى.

ملاحظة: أثناء إضافة خطافات الويب لتحليل الكشف عن الحالات الشاذة وتعقب التهديدات والأحداث الأخرى، استبدل {functionname} ب "RubrikRansomwareOrchestrator" و"RubrikThreatHuntOrchestrator" و"RubrikEventsOrchestrator" على التوالي في عنوان url للدالة المنسوخة.

الآن انتهينا من تكوين rubrik Webhook. بمجرد تشغيل أحداث الإخطار على الويب ، يجب أن تكون قادرا على رؤية الحالات الشاذة وتحليل الكشف عن الحالات الشاذة وأحداث تتبع التهديدات والأحداث الأخرى من Rubrik إلى جدول مساحة عمل LogAnalytics المعني يسمى "Rubrik_Anomaly_Data_CL" و"Rubrik_Ransomware_Data_CL" و"Rubrik_ThreatHunt_Data_CL" و"Rubrik_Events_Data_CL".



أمان SaaS

مدعوم من قبل:أمان Valence

يربط النظام الأساسي لأمان Valence SaaS Azure Log Analytics عبر واجهة REST API

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ValenceAlert_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

الخطوة 1 : قراءة الوثائق التفصيلية

يتم توثيق عملية التثبيت بتفاصيل كبيرة في قاعدة معارف أمان Valence. يجب على المستخدم الرجوع إلى هذه الوثائق بشكل أكبر لفهم تثبيت التكامل وتصحيحه.

الخطوة 2: استرداد بيانات اعتماد الوصول إلى مساحة العمل

خطوة التثبيت الأولى هي استرداد كل من معرف مساحة العمل والمفتاح الأساسي من النظام الأساسي Microsoft Sentinel. انسخ القيم الموضحة أدناه واحفظها لتكوين تكامل معاد توجيه سجل API.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخطوة 3: تكوين تكامل Sentinel على Valence Security Platform

بصفتك مسؤول Valence Security Platform، انتقل إلى شاشة التكوين، وانقر فوق Connect في بطاقة تكامل SIEM، واختر Microsoft Sentinel. الصق القيم من الخطوة السابقة وانقر فوق اتصال. سيقوم Valence باختبار الاتصال، لذلك عند الإبلاغ عن النجاح، يعمل الاتصال.



سجلات تدقيق Salesforce (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات سجلات تدقيق Salesforce القدرة على استيعاب التغييرات الإدارية وتعديلات التكوين من مؤسسة Salesforce إلى Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يوفر الموصل القدرة على استيعاب أحداث سجل تدقيق الإعداد وسجل تسجيل الدخول في Microsoft Sentinel التي تتعقب التغييرات التي تم إجراؤها على تكوين مؤسستك، مما يساعدك على الحفاظ على رؤية الأمان والتوافق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SalesforceAuditTrail نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • وصول Salesforce Service Cloud API: مطلوب الوصول إلى واجهة برمجة تطبيقات Salesforce Service Cloud من خلال تطبيق متصل.

إرشادات الإعداد:

توصيل Salesforce Microsoft Sentinel

اتبع إنشاء تطبيق متصل في Salesforce ل OAuthوتكوين تطبيق متصل لتدفق بيانات اعتماد العميل OAuth 2.0 لإنشاء تطبيق متصل مع الوصول إلى واجهة برمجة تطبيقات سحابة خدمة Salesforce. من خلال هذه الإرشادات، يجب أن تحصل على مفتاح المستهلك وسر المستهلك. بالنسبة إلى Salesforce Domain name، انتقل إلى Setup، واكتب My Domain في مربع Quick Find، وحدد My Domain لعرض تفاصيل مجالك. تأكد من إدخال اسم المجال دون شرطة مائلة لاحقة (على سبيل المثال، https://your-domain.my.salesforce.com). املأ النموذج أدناه بهذه المعلومات.

  • شبكة موصلات البيانات (تكوين في المدخل)



SalesForce Real-Time Event Monitoring Connector (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل Salesforce Real-Time Event Monitoring (RTEM) القدرة على استيعاب المعلومات حول أحداث Salesforce في الوقت الحقيقي باستخدام Object for Event Storage في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يوفر الموصل القدرة على مراجعة الأحداث في مؤسستك على أساس متسارع، والحصول على بيانات الأحداث في الوقت الحقيقي للنشاط الأخير.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SalesForceRealTimeEventMonitoring_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • الوصول إلى واجهة برمجة تطبيقات مراقبة أحداث Salesforce: يلزم الوصول إلى واجهة برمجة تطبيقات مراقبة أحداث Salesforce من خلال تطبيق متصل.

إرشادات الإعداد:

اتصل ب Salesforce Event Monitoring لبدء جمع سجلات مراقبة الأحداث في الوقت الحقيقي في Microsoft Sentinel

اتبع إنشاء تطبيق متصل في Salesforce ل OAuthوتكوين تطبيق متصل لتدفق بيانات اعتماد العميل OAuth 2.0 لإنشاء تطبيق متصل مع الوصول إلى واجهة برمجة تطبيقات مراقبة أحداث Salesforce. من خلال هذه الإرشادات، يجب أن تحصل على مفتاح المستهلك وسر المستهلك. بالنسبة إلى Salesforce Domain name، انتقل إلى Setup، واكتب My Domain في مربع Quick Find، وحدد My Domain لعرض تفاصيل مجالك. تأكد من إدخال اسم المجال دون شرطة مائلة لاحقة (على سبيل المثال، https://your-domain.my.salesforce.com). املأ النموذج أدناه بهذه المعلومات.

ملاحظة: اشتراك الوظيفة الإضافية المطلوبة: يجب أن يتضمن حساب Salesforce اشتراكات الوظيفة الإضافية Salesforce Shield أو Salesforce Event Monitoring لهذا الموصل للعمل.

  • شبكة موصلات البيانات (تكوين في المدخل)



Salesforce Service Cloud (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Salesforce Service Cloud القدرة على استيعاب المعلومات حول الأحداث التشغيلية ل Salesforce في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يوفر الموصل القدرة على مراجعة الأحداث في مؤسستك على أساس متسارع، والحصول على ملفات سجل الأحداث بزيادات كل ساعة للنشاط الأخير.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SalesforceServiceCloudV3_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • وصول Salesforce Service Cloud API: مطلوب الوصول إلى واجهة برمجة تطبيقات Salesforce Service Cloud من خلال تطبيق متصل.

إرشادات الإعداد:

اتصل بواجهة برمجة تطبيقات Salesforce Service Cloud لبدء جمع سجلات الأحداث في Microsoft Sentinel

اتبع إنشاء تطبيق متصل في Salesforce ل OAuthوتكوين تطبيق متصل لتدفق بيانات اعتماد العميل OAuth 2.0 لإنشاء تطبيق متصل مع الوصول إلى واجهة برمجة تطبيقات سحابة خدمة Salesforce. من خلال هذه الإرشادات، يجب أن تحصل على مفتاح المستهلك وسر المستهلك. بالنسبة إلى Salesforce Domain name، انتقل إلى Setup، واكتب My Domain في مربع Quick Find، وحدد My Domain لعرض تفاصيل مجالك. تأكد من إدخال اسم المجال دون شرطة مائلة لاحقة (على سبيل المثال، https://your-domain.my.salesforce.com). املأ النموذج أدناه بهذه المعلومات.

ملاحظة : إشعار: يستخدم إصدار الحل 3.2.0 والإصدارات الأحدث جدول SalesforceServiceCloudV3_CL. تم تحديث المحلل وفقا لذلك.

  • شبكة موصلات البيانات (تكوين في المدخل)



Samsung Knox Asset Intelligence

مدعوم من قبل:Samsung Electronics Co., Ltd.

يتيح لك موصل بيانات معلومات الأصول من Samsung Knox مركزية أحداث وسجلات أمان الأجهزة المحمولة من أجل عرض الرؤى المخصصة باستخدام قالب المصنف، وتحديد الحوادث استنادا إلى قوالب قواعد التحليلات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Samsung_Knox_Audit_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

إرشادات الإعداد:

يستخدم موصل البيانات هذا واجهة برمجة تطبيقات Microsoft Log Ingestion لدفع أحداث الأمان إلى Microsoft Sentinel من حل Samsung Knox Asset Intelligence (KAI).

الخطوة 1 - إنشاء تطبيق Entra وتسجيله

ملاحظة: يمكن أن يدعم موصل البيانات هذا إما المصادقة المستندة إلى الشهادة أو المصادقة المستندة إلى سر العميل. للمصادقة المستندة إلى الشهادة، يمكنك تنزيل الشهادة الموقعة من Samsung CA (المفتاح العام) من مدخل وثائق KAI. بالنسبة للمصادقة المستندة إلى سر العميل، يمكنك إنشاء السر أثناء تسجيل تطبيق Entra. تأكد من نسخ قيمة سر العميل بمجرد إنشائها.

الهامه: احفظ قيم معرف المستأجر (الدليل) ومعرف العميل (التطبيق). إذا تم تمكين المصادقة المستندة إلى سر العميل، فاحفظ سر العميل (القيمة السرية) المقترن بتطبيق Entra.

الخطوة 2 - أتمتة نشر موصل البيانات هذا باستخدام قالب Azure Resource Manager (ARM) أدناه

الهامه: قبل نشر موصل البيانات، انسخ اسم مساحة العمل أدناه المقترن بمثيل Microsoft Sentinel (أيضا تحليلات السجل).

  • اسم مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

  1. انقر فوق الزر أدناه لتثبيت Samsung Knox Intelligence Solution.

    aka.ms\n2. قم بتوفير الحقول المطلوبة التالية: اسم مساحة عمل Log Analytics وموقع مساحة عمل Log Analytics واشتراك مساحة عمل Log Analytics (ID) ومجموعة موارد مساحة عمل Log Analytics.

الخطوة 3 - الحصول على تفاصيل جمع البيانات Microsoft Sentinel

بمجرد نشر قالب ARM، انتقل إلى قواعد https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionrulesتجميع البيانات ؟ واحفظ القيم المقترنة بالمعرف غير القابل للتغيير (DCR) ونقطة نهاية تجميع البيانات (DCE).

الهامه: لتمكين التكامل الشامل، يلزم توفير المعلومات المتعلقة Microsoft Sentinel DCE وDCR للتكوين في مدخل Samsung Knox Asset Intelligence (الخطوة 4).

تأكد من أن تطبيق Entra الذي تم إنشاؤه في الخطوة 1 لديه أذونات لاستخدام DCR الذي تم إنشاؤه لإرسال البيانات إلى DCE. يرجى الرجوع إلى /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-the-dcr لتعيين الأذونات وفقا لذلك.

الخطوة 4 - الاتصال بحل Samsung Knox Asset Intelligence لتكوين Microsoft Sentinel لدفع أحداث أمان Knox المحددة كتنبيهات

  1. تسجيل الدخول إلى مدخل إدارة Knox Asset Intelligence والانتقال إلى إعدادات لوحة المعلومات؛ يتوفر هذا في الزاوية العلوية اليسرى من المدخل.

ملاحظة: تأكد من أن مستخدم تسجيل الدخول لديه حق الوصول إلى أذونات "الأمان" و"إدارة طريقة عرض لوحة المعلومات وجمع البيانات".

  1. انقر فوق علامة التبويب Security لعرض إعدادات Microsoft Sentinel Integration وKnox Security Logs.

  2. في صفحة Security Operations Integration، قم بالتبديل إلى "Enable Microsoft Sentinel Integration" وأدخل القيم المناسبة في الحقول المطلوبة.

أ. استنادا إلى أسلوب المصادقة المستخدم، راجع المعلومات المحفوظة من الخطوة 1 أثناء تسجيل تطبيق Entra.

ب. للحصول على Microsoft Sentinel DCE وDCR، راجع المعلومات المحفوظة من الخطوة 3.

  1. انقر فوق "اختبار الاتصال" وتأكد من نجاح الاتصال.

  2. قبل أن تتمكن من الحفظ، قم بتكوين سجلات أمان Knox عن طريق تحديد التكوين الأساسي أو المتقدم (افتراضي: أساسي).

  3. لإكمال تكامل Microsoft Sentinel، انقر فوق "حفظ".



SAP BTP

مدعوم من قبل:Microsoft Corporation

يجمع SAP Business Technology Platform (SAP BTP) بين إدارة البيانات والتحليلات والذكاء الاصطناعي وتطوير التطبيقات والأتمتة والتكامل في بيئة واحدة موحدة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SAPBTPAuditLog_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • معرف العميل وسر العميل لواجهة برمجة تطبيقات استرداد التدقيق: تمكين الوصول إلى واجهة برمجة التطبيقات في BTP.

إرشادات الإعداد:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات استرداد تدقيق SAP BTP

اتبع الخطوات التي يوفرها SAP راجع واجهة برمجة تطبيقات استرداد سجل التدقيق للحسابات العمومية في بيئة Cloud Foundry. دون عنوان url (عنوان URL لاسترداد التدقيق لواجهة برمجة التطبيقات) وuaa.url (حساب المستخدم وعنوان url لخادم المصادقة) وuaa.clientid المقترن.

ملاحظه: يمكنك تكتل حسابات BTP الفرعية باستخدام الأدوات المتوفرة.

توصيل الأحداث من SAP BTP إلى Microsoft Sentinel

الاتصال باستخدام بيانات اعتماد عميل OAuth

حسابات فرعية

يمثل كل صف حسابا فرعيا متصلا

  • شبكة موصلات البيانات (تكوين في المدخل)



الكشف عن تهديدات SAP Enterprise، إصدار السحابة

مدعوم من قبل:SAP

يتيح SAP Enterprise Threat Detection وموصل بيانات الإصدار السحابي (ETD) استيعاب تنبيهات الأمان من ETD إلى Microsoft Sentinel، ما يدعم الارتباط المتبادل والتنبيه وتتبع التهديدات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SAPETDAlerts_CL نعم نعم
SAPETDInvestigations_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • معرف العميل وسر العميل لواجهة برمجة تطبيقات استرداد ETD: تمكين الوصول إلى واجهة برمجة التطبيقات في ETD.

إرشادات الإعداد:

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات استرداد تدقيق SAP ETD

اتبع الخطوات التي يوفرها SAP راجع مستندات ETD. دون عنوان url (عنوان URL لاسترداد التدقيق لواجهة برمجة التطبيقات) وuaa.url (حساب المستخدم وعنوان url لخادم المصادقة) وuaa.clientid المقترن.

ملاحظه: يمكنك إلحاق حساب فرعي واحد أو أكثر من حسابات ETD باتباع الخطوات التي يوفرها SAP راجع مستندات ETD. إضافة اتصال لكل حساب فرعي.

تلميح: استخدم سلسلة المدونة المشتركة للحصول على معلومات إضافية.

توصيل الأحداث من SAP ETD إلى Microsoft Sentinel

الاتصال باستخدام بيانات اعتماد عميل OAuth

حسابات ETD

يمثل كل صف حساب ETD متصلا

  • شبكة موصلات البيانات (تكوين في المدخل)



SAP LogServ (RISE)، إصدار S/4HANA Cloud الخاص

مدعوم من قبل:SAP

SAP LogServ هي خدمة SAP Enterprise Cloud Services (ECS) تهدف إلى جمع السجلات وتخزينها وإعادة توجيهها والوصول إليها. يقوم LogServ بمركزية السجلات من جميع الأنظمة والتطبيقات وخدمات ECS المستخدمة من قبل عميل مسجل.
تتضمن الميزات الرئيسية ما يلي:
مجموعة سجلات قريبة من الوقت الحقيقي: مع القدرة على الاندماج في Microsoft Sentinel كحل SIEM.
يكمل LogServ مراقبة تهديدات طبقة تطبيق SAP الحالية واكتشافها في Microsoft Sentinel مع أنواع السجلات المملوكة من قبل SAP ECS كموفر النظام. يتضمن ذلك سجلات مثل: سجل تدقيق أمان SAP (AS ABAP)، وقاعدة بيانات HANA، وAS JAVA، وICM، وSAP Web Dispatcher، وSAP Cloud Connector، ونظام التشغيل، وبوابة SAP، وقاعدة بيانات الطرف الثالث، والشبكة، وDNS، والوكيل، وجدار الحماية

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SAPLogServ_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قواعد جمع البيانات. يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

سنقوم بإنشاء موارد قاعدة جمع البيانات (DCR) ونقطة نهاية جمع البيانات (DCE). سنقوم أيضا بإنشاء تسجيل تطبيق Microsoft Entra وتعيين الأذونات المطلوبة له.

سيؤدي النشر التلقائي لموارد Azure النقر على "توزيع موارد موصل الدفع" إلى إنشاء موارد DCR وDCE. ثم سيقوم بإنشاء تسجيل تطبيق Microsoft Entra مع سر العميل ومنح أذونات على DCR. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام بيانات اعتماد عميل OAuth v2.

2. الاحتفاظ بتفاصيل نقطة نهاية جمع البيانات ومعلومات المصادقة في SAP LogServ

شارك عنوان URL لنقطة نهاية جمع البيانات ومعلومات المصادقة مع مسؤول SAP LogServ لتكوين SAP LogServ لإرسال البيانات إلى نقطة نهاية جمع البيانات.

تعرف على المزيد من سلسلة المدونة هذه.

  • استخدم هذه القيمة للتكوين كمعرف المستأجر في بيانات اعتماد LogIngestionAPI.: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra Application Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • استخدم هذه القيمة لتكوين المعلمة LogsIngestionURL عند نشر IFlow.: <قيمة المتغير المتوفرة في وقت التثبيت>
  • معرف DCR غير قابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>



SAP S/4HANA Cloud Public Edition

مدعوم من قبل:SAP

يتيح موصل بيانات SAP S/4HANA Cloud Public Edition (GROW with SAP) استيعاب سجل تدقيق أمان SAP في حل Microsoft Sentinel ل SAP، ما يدعم الارتباط المتبادل والتنبيه وتتبع التهديدات. هل تبحث عن آليات مصادقة بديلة؟ انظر هنا.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ABAPAuditLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • معرف العميل وسر العميل لواجهة برمجة تطبيقات استرداد التدقيق: تمكين الوصول إلى واجهة برمجة التطبيقات في BTP.
  • Microsoft Sentinel لحزمة محتوى SAP (60+ قواعد تحليلية ومصنفات وتحليلات والمزيد): نشر من مركز محتوى Microsoft Sentinel.

إرشادات الإعداد:

الخطوة 1 - خطوات التكوين ل SAP S/4HANA Cloud Public Edition

للاتصال ب SAP S/4HANA Cloud Public Edition، ستحتاج إلى:

  1. تكوين ترتيب اتصال لسيناريو الاتصال SAP_COM_0750

  2. عنوان URL لمستأجر SAP S/4HANA Cloud Public Edition

  3. مستخدم اتصال صالح (اسم المستخدم وكلمة المرور) لنظام SAP S/4HANA Cloud

  4. التخويلات المناسبة للوصول إلى بيانات سجل التدقيق عبر خدمات OData

ملاحظه: يدعم هذا الموصل المصادقة الأساسية. هل تبحث عن آليات مصادقة بديلة؟ انظر هنا

توصيل الأحداث من SAP S/4HANA Cloud Public Edition إلى Microsoft Sentinel Solution ل SAP

الاتصال باستخدام المصادقة الأساسية

اتصالات S/4HANA Cloud Public Edition

يمثل كل صف نظام S/4HANA Cloud Public Edition متصلا

  • شبكة موصلات البيانات (تكوين في المدخل)



حل SecurityBridge ل SAP

مدعوم من قبل:SecurityBridge

يعزز SecurityBridge أمان SAP من خلال التكامل بسلاسة مع Microsoft Sentinel، ما يتيح المراقبة في الوقت الحقيقي واكتشاف التهديدات عبر بيئات SAP. يسمح هذا التكامل لمراكز عمليات الأمان (SOCs) بدمج أحداث أمان SAP مع البيانات التنظيمية الأخرى، ما يوفر عرضا موحدا لمشهد التهديد. من خلال الاستفادة من التحليلات التي تعمل بالذكاء الاصطناعي Security Copilot من Microsoft، يحدد SecurityBridge أنماط الهجوم المتطورة والثغرات الأمنية داخل تطبيقات SAP، بما في ذلك فحص التعليمات البرمجية ABAP وتقييمات التكوين . يدعم الحل عمليات التوزيع القابلة للتطوير عبر مناظر SAP الطبيعية المعقدة، سواء في أماكن العمل أو في السحابة أو البيئات المختلطة. من خلال سد الفجوة بين فرق أمان تكنولوجيا المعلومات وSAP، يمكن SecurityBridge المؤسسات من الكشف عن التهديدات والتحقيق فيها والاستجابة لها بشكل استباقي، وتعزيز الوضع الأمني العام.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ABAPAuditLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قواعد جمع البيانات. يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

سنقوم بإنشاء موارد قاعدة جمع البيانات (DCR) ونقطة نهاية جمع البيانات (DCE). سنقوم أيضا بإنشاء تسجيل تطبيق Microsoft Entra وتعيين الأذونات المطلوبة له.

سيؤدي النشر التلقائي لموارد Azure النقر على "توزيع موارد موصل الدفع" إلى إنشاء موارد DCR وDCE. ثم سيقوم بإنشاء تسجيل تطبيق Microsoft Entra مع سر العميل ومنح أذونات على DCR. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام بيانات اعتماد عميل OAuth v2.

2. الاحتفاظ بتفاصيل نقطة نهاية جمع البيانات ومعلومات المصادقة في SecurityBridge

شارك عنوان URL لنقطة نهاية جمع البيانات ومعلومات المصادقة مع مسؤول SecurityBridge لتكوين Securitybridge لإرسال البيانات إلى نقطة نهاية جمع البيانات.

تعرف على المزيد من صفحة KB الخاصة بنا https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface

  • استخدم هذه القيمة للتكوين كمعرف المستأجر في بيانات اعتماد LogIngestionAPI.: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra Application Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • استخدم هذه القيمة لتكوين المعلمة LogsIngestionURL عند نشر IFlow.: <قيمة المتغير المتوفرة في وقت التثبيت>
  • معرف DCR غير قابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Sentinel لمعرف STREAM SAP: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف SecurityBridge_CL Stream: <قيمة متغيرة متوفرة في وقت التثبيت>



Semperis Lightning Logs

مدعوم من قبل:Semperis

يستخدم موصل Semperis Lightning دالات Azure لاستيعاب بيانات أمان هوية Semperis Lightning في Microsoft Sentinel. يوزع الموصل وظيفة Azure ويجمع البيانات في جداول Log Analytics المخصصة للتحقيق وتعقب التهديدات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
LightningTier0Nodes_CL لا لا
LightningAttackPaths_CL لا لا
LightningIOEResults_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد Semperis Lightning API: مطلوب مفتاح Semperis Lightning API والمنطقة المحددة ( na أو eu) لمصادقة الموصل إلى Semperis Lightning.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب Semperis Lightning وسحب البيانات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات بأمان في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

تأكد من إضافة مساحة العمل إلى Microsoft Sentinel قبل نشر الموصل.

الخطوة 1 - تكوين الوصول إلى Semperis Lightning

  1. سجل الدخول إلى مستأجر Semperis Lightning.
  2. إنشاء مفتاح واجهة برمجة تطبيقات Semperis صالح أو استرداده للوصول إلى الموصل.
  3. تأكد من قيمة منطقة Semperis (نا لأمريكا الشمالية أو الاتحاد الأوروبي لأوروبا) لاستخدامها أثناء التوزيع.

الخطوة 2 - نشر موصل "سجلات البرق Semperis" ودالة Azure المقترنة

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

الخطوة 3 - تعيين معلمات الموصل

  1. حدد الاشتراك المفضل ومجموعة موارد موجودة.
  2. أدخل معرف مورد مساحة عمل Log Analytics موجود ينتمي إلى مجموعة الموارد.
  3. انقر فوق التالي.
  4. أدخل مفتاح واجهة برمجة تطبيقات Semperis وحدد منطقة Semperis.
  5. اضبط جدول الموصل اختياريا (افتراضي: كل ساعة واحدة).
  6. راجع الإعدادات وانقر فوق إنشاء.



SentinelOne (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يسمح موصل بيانات SentinelOne بدمج السجلات من واجهة برمجة تطبيقات SentinelOne في Microsoft Sentinel. تم إنشاء موصل البيانات على Microsoft Sentinel Codeless Connector Framework. يستخدم واجهة برمجة تطبيقات SentinelOne لجلب السجلات ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل بيانات الأمان المستلمة في جدول مخصص بحيث لا تحتاج الاستعلامات إلى تحليلها مرة أخرى، مما يؤدي إلى أداء أفضل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SentinelOneActivities_CL نعم نعم
SentinelOneAgents_CL نعم نعم
SentinelOneGroups_CL نعم نعم
SentinelOneThreats_CL نعم نعم
SentinelOneAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات SentinelOne اتبع الإرشادات للحصول على بيانات الاعتماد. يمكنك أيضا اتباع الدليل لإنشاء مفتاح API.

  1. استرداد عنوان URL لإدارة SentinelOne 1.1. سجل الدخول إلى SentinelOne [وحدة تحكم الإدارة] باستخدام بيانات اعتماد المستخدم مسؤول 1.2. في [وحدة تحكم الإدارة] انسخ ارتباط عنوان URL أعلاه دون مسار عنوان URL.

  2. استرداد الرمز المميز لواجهة برمجة التطبيقات 2.1. سجل الدخول إلى SentinelOne [وحدة تحكم الإدارة] باستخدام بيانات اعتماد المستخدم مسؤول 2.2. في [وحدة تحكم الإدارة]، انقر فوق [الإعدادات] 2.3. في طريقة عرض [الإعدادات] انقر فوق [USERS]. 2.4. في صفحة [USERS] انقر على [Service Users] -> [Actions] -> [Create new service user]. 2.5. اختر [تاريخ انتهاء الصلاحية] و[النطاق] (حسب الموقع) وانقر فوق [إنشاء مستخدم]. 2.6. بمجرد إنشاء [مستخدم الخدمة] انسخ [رمز API المميز] من الصفحة واضغط على [حفظ]

  • عنوان URL لإدارة SentinelOne: (https://example.sentinelone.net/)
  • الرمز المميز لواجهة برمجة التطبيقات: (رمز API المميز)
  • تمكين/تعطيل الاتصال



Seraphic Web Security

مدعوم من قبل:أمان Seraphic

يوفر موصل بيانات Seraphic Web Security القدرة على استيعاب أحداث وتنبيهات أمان الويب Seraphic في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SeraphicWebSecurity_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مفتاح واجهة برمجة التطبيقات Seraphic: مفتاح API Microsoft Sentinel متصلا بمستأجر Seraphic Web Security. للحصول على مفتاح API هذا للمستأجر الخاص بك - تفضل بزيارة صفحة التكاملات في وحدة تحكم Seraphic.

إرشادات الإعداد:

توصيل أمان ويب Seraphic

يرجى إدراج اسم التكامل وعنوان URL للتكامل Seraphic واسم مساحة العمل Microsoft Sentinel:



وحدة تحكم مسؤول Silverfort

مدعوم من قبل:Silverfort

يتيح حل موصل Silverfort ITDR مسؤول Console استيعاب أحداث Silverfort وتسجيل الدخول إلى Microsoft Sentinel. يوفر Silverfort الأحداث المستندة إلى syslog والتسجيل باستخدام Common Event Format (CEF). من خلال إعادة توجيه بيانات Silverfort ITDR مسؤول Console CEF إلى Microsoft Sentinel، يمكنك الاستفادة من ارتباط بحث Sentinels & والتنبيه وإثراء التحليل الذكي للمخاطر على بيانات Silverfort. يرجى الاتصال ب Silverfort أو مراجعة وثائق Silverfort للحصول على مزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommonSecurityLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

1. Linux تكوين عامل Syslog

قم بتثبيت عامل Linux وتكوينه لجمع رسائل Syslog بتنسيق الحدث الشائع (CEF) وإعادة توجيهها إلى Microsoft Sentinel.

لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة

1.1 تحديد جهاز Linux أو إنشائه

حدد أو أنشئ جهازا Linux سيستخدمه Microsoft Sentinel كوكيل بين حل الأمان الخاص بك Microsoft Sentinel يمكن أن يكون هذا الجهاز على البيئة المسبقة أو Azure أو السحب الأخرى.

1.2 تثبيت مجمع CEF على جهاز Linux

قم بتثبيت عامل مراقبة Microsoft على جهاز Linux وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP.

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version.

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك.

  • قم بتشغيل الأمر التالي لتثبيت وتطبيق مجمع CEF:< قيمة متغيرة متوفرة في وقت التثبيت>

2. إعادة توجيه سجلات تنسيق الأحداث الشائعة (CEF) إلى عامل Syslog

قم بتعيين حل الأمان لإرسال رسائل Syslog بتنسيق CEF إلى جهاز الوكيل. تأكد من إرسال السجلات إلى المنفذ 514 TCP على عنوان IP للجهاز.

3. التحقق من صحة الاتصال

اتبع الإرشادات للتحقق من صحة الاتصال:

افتح Log Analytics للتحقق مما إذا تم تلقي السجلات باستخدام مخطط CommonSecurityLog.

قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.

إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك

  • قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:: <قيمة متغيرة متوفرة في وقت التثبيت>

**4. تأمين جهازك **

تأكد من تكوين أمان الجهاز وفقا لنهج الأمان الخاص بمؤسستك

التعرف على المزيد >



SlackAudit (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات SlackAudit القدرة على استيعاب سجلات Slack Audit في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SlackAuditV2_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • UserName، SlackAudit API Key & Action Type: لإنشاء الرمز المميز للوصول، أنشئ تطبيقا جديدا في Slack، ثم أضف النطاقات الضرورية وقم بتكوين عنوان URL لإعادة التوجيه. للحصول على إرشادات مفصلة حول إنشاء الرمز المميز للوصول واسم المستخدم والحد الأقصى لاسم الإجراء، راجع الارتباط.

إرشادات الإعداد:

**توصيل SlackAudit Microsoft Sentinel

**

لاستيعاب البيانات من SlackAudit إلى Microsoft Sentinel، يجب عليك النقر فوق الزر Add Domain أدناه ثم تحصل على نافذة منبثقة لملء التفاصيل وتوفير المعلومات المطلوبة والنقر فوق Connect. يمكنك رؤية أسماء المستخدمين والإجراءات المتصلة في الشبكة.

  • شبكة موصلات البيانات (تكوين في المدخل)



Snowflake (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Snowflake القدرة على استيعاب سجلات سجل تسجيل الدخول Snowflake وسجلات محفوظات الاستعلاموسجلات منح المستخدموسجلات منح الأدواروسجلات محفوظات التحميل وسجلاتمحفوظات التحديث المجسدة وسجلاتالأدواروسجلات الجداولوسجلات مقاييس تخزين الجدولوسجلات المستخدمين في Microsoft Sentinel باستخدام واجهة برمجة تطبيقات Snowflake SQL. راجع وثائق واجهة برمجة تطبيقات Snowflake SQL للحصول على مزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SnowflakeLogin_CL نعم نعم
SnowflakeQuery_CL نعم نعم
SnowflakeUserGrant_CL نعم نعم
SnowflakeRoleGrant_CL نعم نعم
SnowflakeLoad_CL نعم نعم
SnowflakeMaterializedView_CL نعم نعم
SnowflakeRoles_CL نعم نعم
SnowflakeTables_CL نعم نعم
SnowflakeTableStorageMetrics_CL نعم نعم
SnowflakeUsers_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل Snowflake Microsoft Sentinel

ملاحظة: لضمان تقديم البيانات في أعمدة منفصلة لكل حقل، قم بتنفيذ المحلل باستخدام الدالة Snowflake()

لجمع البيانات من Snowflake، تحتاج إلى توفير الموارد التالية

  1. معرف الحساب لجمع البيانات من Snowflake، ستحتاج إلى معرف حساب Snowflake.

  2. رمز الوصول البرمجي لجمع البيانات من Snowflake، ستحتاج إلى رمز الوصول البرمجي Snowflake

للحصول على إرشادات مفصلة حول استرداد معرف الحساب ورمز الوصول البرمجي، يرجى الرجوع إلى البرنامج التعليمي للموصل.

  • شبكة موصلات البيانات (تكوين في المدخل)



SOC Prime Platform Audit Logs Data Connector

مدعوم من قبل:SOC Prime

يسمح موصل بيانات SOC Prime Audit Logs بدمج السجلات من واجهة برمجة تطبيقات SOC Prime Platform في Microsoft Sentinel. تم إنشاء موصل البيانات على Microsoft Sentinel Codeless Connector Framework. يستخدم واجهة برمجة تطبيقات SOC Prime Platform لجلب سجلات تدقيق النظام الأساسي SOC Prime ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR التي تحلل بيانات الأمان المستلمة في جدول مخصص، مما يؤدي إلى أداء أفضل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SOCPrimeAuditLogs_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات SOC Prime Platform اتبع الإرشادات للحصول على بيانات الاعتماد. يمكنك أيضا اتباع هذا الدليل لإنشاء مفتاح API شخصي.

استرداد مفتاح واجهة برمجة التطبيقات

  1. تسجيل الدخول إلى SOC Prime Platform
  2. انقر فوق أيقونة [الحساب] -> [إعدادات النظام الأساسي] -> [API]
  3. انقر فوق [إضافة مفتاح جديد]
  4. في المشروط الذي يظهر إعطاء مفتاحك اسما ذا معنى، قم بتعيين تاريخ انتهاء الصلاحية وواجهات برمجة تطبيقات المنتج التي يوفر المفتاح الوصول إليها
  5. انقر فوق [إنشاء]
  6. انسخ المفتاح واحفظه في مكان آمن. لن تتمكن من عرضه مرة أخرى بمجرد إغلاق هذا المشروط
  • مفتاح واجهة برمجة تطبيقات SOC Prime: (مفتاح واجهة برمجة التطبيقات)
  • تمكين/تعطيل الاتصال



موصل بيانات Sonrai

مدعوم من قبل:N/A

استخدم موصل البيانات هذا للتكامل مع Sonrai Security والحصول على تذاكر Sonrai المرسلة مباشرة إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Sonrai_Tickets_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

موصل بيانات أمان Sonrai

  1. انتقل إلى لوحة معلومات أمان Sonrai.
  2. في اللوحة السفلية اليمنى، انقر فوق عمليات التكامل.
  3. حدد Microsoft Sentinel من قائمة عمليات التكامل المتوفرة.
  4. املأ النموذج باستخدام المعلومات المتوفرة أدناه.
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



حماية نقطة نهاية Sophos (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Sophos Endpoint Protection القدرة على استيعاب أحداث Sophosوتنبيهات Sophos في Microsoft Sentinel. راجع وثائق sophos Central مسؤول للحصول على مزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SophosEPEvents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الوصول إلى واجهة برمجة تطبيقات Sophos Endpoint Protection: يلزم الوصول إلى واجهة برمجة تطبيقات Sophos Endpoint Protection من خلال كيان الخدمة.

إرشادات الإعداد:

اتصل بواجهة برمجة تطبيقات Sophos Endpoint Protection لبدء جمع سجلات الأحداث والتنبيه في Microsoft Sentinel

اتبع إرشادات Sophos لإنشاء كيان خدمة مع الوصول إلى واجهة برمجة تطبيقات Sophos. سيحتاج إلى دور ReadOnly الأساسي للخدمة. من خلال هذه الإرشادات، يجب أن تحصل على معرف العميل وسر العميل ومعرف المستأجر ومنطقة البيانات. املأ نافذة النموذج بتلك المعلومات.

  • معرف مستأجر Sophos: (معرف مستأجر Sophos)
  • منطقة بيانات مستأجر Sophos: (eu01 أو eu02 أو us01 أو us02 أو us03)
  • شبكة موصلات البيانات (تكوين في المدخل)



Symantec Integrated Cyber Defense Exchange

مدعوم من قبل:Microsoft Corporation

يسمح لك موصل Symantec ICDx بتوصيل سجلات حلول أمان Symantec بسهولة Microsoft Sentinel، لعرض لوحات المعلومات، وإنشاء تنبيهات مخصصة، وتحسين التحقيق. يمنحك هذا المزيد من التفاصيل حول شبكة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SymantecICDx_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

تكوين اتصال Symantec ICDx

  1. على شريط التنقل ICDx، انقر فوق تكوين.
  2. في أعلى شاشة التكوين، انقر فوق معيدات التوجيه، وبجوار Microsoft Sentinel (Log Analytics)، انقر فوق إضافة.
  3. في نافذة Microsoft Sentinel (Log Analytics) التي تفتح، انقر فوق إظهار خيارات متقدمة. راجع الوثائق لتعيين الميزات المتقدمة.
  4. تأكد من تعيين اسم للموجه وضمن Azure الوجهة، قم بتعيين هذه الحقول المطلوبة:
  • معرف مساحة العمل: الصق معرف مساحة العمل من صفحة موصل مدخل Microsoft Sentinel.
  • المفتاح الأساسي: الصق المفتاح الأساسي من صفحة موصل مدخل Microsoft Sentinel.
  • اسم السجل المخصص: اكتب اسم السجل المخصص في مدخل Microsoft Azure مساحة عمل Log Analytics التي ستقوم بإعادة توجيه الأحداث إليها. الافتراضي هو SymantecICDx.
  1. انقر فوق حفظ و لبدء إعادة التوجيه، انتقل إلى خيارات > المزيد وانقر فوق بدء.
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



موصل تكامل Synqly

مدعوم من قبل:Synqly

يوفر موصل Synqly القدرة على دفع أحداث الأمان من عمليات تكامل Synqly إلى Microsoft Sentinel باستخدام Azure Logs Ingestion API. تتم تسوية الأحداث تلقائيا إلى جداول ASIM (نموذج معلومات الأمان المتقدم) لاستخدامها مع Microsoft Sentinel التحليلات والمصنفات واستعلامات التتبع.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra ID: دور مطور التطبيقات (أو أعلى) لإنشاء تسجيلات التطبيق.
  • Microsoft Azure: دور المالك أو مسؤول وصول المستخدم في مجموعة الموارد لنشر DCR وتعيين دور Monitoring Metrics Publisher.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يتيح هذا الموصل استيعاب أحداث الأمان المستندة إلى الدفع من عمليات تكامل Synqly في Microsoft Sentinel. يتم تسوية الأحداث تلقائيا إلى جداول ASIM (نموذج معلومات الأمان المتقدم).

يؤدي نشر موارد الموصل بالنقر فوق "توزيع" إلى إنشاء قاعدة تجميع البيانات (DCR) ونقطة نهاية تجميع البيانات (DCE) وتطبيق Entra مع الأذونات اللازمة لإرسال البيانات بأمان إلى Microsoft Sentinel.

2. منح أذونات إضافية (استنادا إلى حالة الاستخدام)

قد تكون هناك حاجة إلى أدوار إضافية اعتمادا على كيفية التخطيط لاستخدام Synqly مع Microsoft Sentinel.

موصل المتلقي (الكتابة فقط): لا توجد أذونات إضافية مطلوبة. موصل SIEM (قراءة/كتابة): تعيين مساهم Microsoft Sentinel دور لتطبيق Entra عبر واجهة مستخدم Azure في مساحة عمل Log Analytics.

راجع وثائق Synqly للحصول على أدلة الإعداد التفصيلية.

3. دفع سجلاتك إلى مساحة العمل

قم بتوفير هذه المعلمات لتكامل Synqly الخاص بك. ستتعامل خدمة Synqly تلقائيا مع التفاصيل التقنية لاستيعاب البيانات، بما في ذلك تنسيق الأحداث إلى أحد مخططات ASIM المدعومة العشرة (المصادقة، AuditEvent، Dhcp، Dns، FileEvent، NetworkSession، ProcessEvent، RegistryEvent، UserManagement، WebSession).

هام: يتم إسقاط الأحداث ذات أنواع المخططات غير المدعومة بصمت بواسطة Azure. إذا لم تظهر البيانات المتوقعة، فتحقق مع موفر تكامل Synqly من إرسال الأحداث باستخدام أحد أنواع المخططات المدعومة المذكورة أعلاه.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>



Syslog عبر AMA

مدعوم من قبل:Microsoft Corporation

Syslog هو بروتوكول تسجيل أحداث شائع Linux. سترسل التطبيقات رسائل قد يتم تخزينها على الجهاز المحلي أو تسليمها إلى جامع Syslog. عند تثبيت عامل Linux، يقوم بتكوين البرنامج الخفي Syslog المحلي لإعادة توجيه الرسائل إلى العامل. ثم يرسل العامل الرسالة إلى مساحة العمل.

التعرف على المزيد >

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Syslog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

بيانات الاعتماد المخترقة الضمنية

مدعوم من قبل:Data443 Risk Mitigation, Inc.

استيعاب نتائج بيانات الاعتماد المخترقة من TacitRed باستخدام إطار عمل الموصل المشترك (CCF).

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
TacitRed_Findings_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مفتاح API المضمن: مفتاح واجهة برمجة التطبيقات المخزن في Azure Key Vault أو يتم توفيره في وقت التوزيع.

إرشادات الإعداد:

توصيل بيانات الاعتماد المخترقة المضمنة

لتمكين الموصل TacitRed، قم بتوفير مفتاح API أدناه وانقر فوق Connect.

لتحسين الأمان، يمكنك تمكين تكامل Key Vault لتخزين مفتاح واجهة برمجة التطبيقات واسترداده.

  • مفتاح API المضمن: (أدخل مفتاح API المضمن)
  • تمكين/تعطيل الاتصال



Talon Insights

مدعوم من قبل:Talon Security

يسمح لك موصل سجلات أمان Talon بتوصيل أحداث Talon وسجلات التدقيق بسهولة Microsoft Sentinel، لعرض لوحات المعلومات، وإنشاء تنبيهات مخصصة، وتحسين التحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Talon_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

يرجى ملاحظة القيم أدناه واتباع الإرشادات هنا لتوصيل أحداث Talon Security وسجلات التدقيق Microsoft Sentinel.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



موصل دفع CCF الخاص بالتانيوم

مدعوم من قبل:Tanium Inc.

تغذي هذه البيانات Microsoft Sentinel المصنفات ودلائل المبادئ حتى يتمكن المحللون من إثراء الحوادث، وتصور مخاطر نقطة النهاية وصحتها، وأتمتة مهام سير عمل التحقيق والاستجابة. لمزيد من التفاصيل حول Tanium، توجه إلى https://www.tanium.com/contact-us/

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
TaniumComplyCompliance_CL لا لا
TaniumComplyVulnerabilities_CL لا لا
TaniumDefenderHealth_CL لا لا
TaniumDiscoverUnmanagedAssets_CL لا لا
TaniumHighUptime_CL لا لا
TaniumPatchCoverageStatus_CL لا لا
TaniumPatchListApplicability_CL لا لا
TaniumPatchListCompliance_CL لا لا
TaniumSCCMClientHealth_CL لا لا
TaniumThreatResponse_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR).

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

يمكن هذا الموصل خادم Tanium الخاص بك من دفع بيانات المخزون الأساسي مباشرة إلى Microsoft Sentinel عبر واجهة برمجة تطبيقات Azure Monitor Ingestion.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جدول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال بيانات Tanium بأمان إلى DCR باستخدام رمز مميز Entra.

2. تكوين اتصالات Tanium

استخدم المعلمات التالية لتكوين اتصالات Tanium لدفع البيانات إلى مساحة العمل.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Compliance Findings Logs Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • سجلات الثغرات الأمنية للتوافق Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Defender Health Logs Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • اكتشاف سجلات سلامة الأصول غير المدارة Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • High Uptime Logs Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Patch Coverage Status Logs Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Patch List Applicability Logs Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Patch List Compliance Logs Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • SCCM Client Health Logs Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>
  • سجلات تنبيهات الاستجابة للمخاطر Stream الاسم: <قيمة متغيرة متوفرة في وقت التثبيت>

3. إنشاء الاتصال في Tanium

بعد نشر موصل البيانات بنجاح في Azure، قم بإنشاء الاتصال المطلوب في خادم Tanium في وحدة الاتصال. لمزيد من المعلومات حول وحدة الاتصال، راجع تعليمات Tanium

  1. قم بتنزيل ملف استيراد الاتصال.
  2. استبدل العناصر النائبة بالمعلمات المعروضة أعلاه.
  3. في خادم Tanium الخاص بك، افتح وحدة الاتصال.
  4. استخدم وظيفة الاستيراد لاستيراد اتصالات جديدة.



Team Cymru Scout Data Connector (باستخدام وظائف Azure)

مدعوم من قبل:Team Cymru

يسمح TeamCymruScout Data Connector للمستخدمين بإحضار Team Cymru Scout IP وبيانات استخدام المجال والحساب في Microsoft Sentinel للإثراء.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Cymru_Scout_Domain_Data_CL لا لا
Cymru_Scout_IP_Data_Foundation_CL لا لا
Cymru_Scout_IP_Data_Details_CL لا لا
Cymru_Scout_IP_Data_Communications_CL لا لا
Cymru_Scout_IP_Data_PDNS_CL لا لا
Cymru_Scout_IP_Data_Fingerprints_CL لا لا
Cymru_Scout_IP_Data_OpenPorts_CL لا لا
Cymru_Scout_IP_Data_x509_CL لا لا
Cymru_Scout_IP_Data_Summary_Details_CL لا لا
Cymru_Scout_IP_Data_Summary_PDNS_CL لا لا
Cymru_Scout_IP_Data_Summary_OpenPorts_CL لا لا
Cymru_Scout_IP_Data_Summary_Certs_CL لا لا
Cymru_Scout_IP_Data_Summary_Fingerprints_CL لا لا
Cymru_Scout_Account_Usage_Data_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • إذن لتعيين دور للتطبيق المسجل: مطلوب إذن لتعيين دور للتطبيق المسجل في Microsoft Entra ID.
  • بيانات اعتماد/أذونات Team Cymru Scout: بيانات اعتماد حساب Team Cymru Scout (اسم المستخدم، كلمة المرور) مطلوبة.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب Team Cymru Scout API لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات إنشاء مفتاح واجهة برمجة تطبيقات Team Cymru Scout

اتبع هذه الإرشادات لإنشاء مفتاح Team Cymru Scout API.

  1. راجع مستند مفاتيح واجهة برمجة التطبيقات لإنشاء مفتاح API لاستخدامه كنموذج بديل للتخويل.

الخطوة 2 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ TeamCymruScout Data Connector.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 3 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ TeamCymruScout Data Connector. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ TeamCymruScout Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 4 - الحصول على معرف العنصر للتطبيق الخاص بك في Microsoft Entra ID

بعد إنشاء تسجيل التطبيق، اتبع الخطوات الواردة في هذا القسم للحصول على معرف العنصر:

  1. انتقل إلى Microsoft Entra ID.
  2. حدد Enterprise applications من القائمة اليسرى.
  3. ابحث عن التطبيق الذي تم إنشاؤه حديثا في القائمة (يمكنك البحث حسب الاسم الذي قدمته).
  4. انقر على التطبيق.
  5. في صفحة النظرة العامة، انسخ معرف الكائن. هذا هو AzureEntraObjectId المطلوب لتعيين دور قالب ARM.

الخطوة 5 - تعيين دور المساهم للتطبيق في Microsoft Entra ID

اتبع الخطوات الواردة في هذا القسم لتعيين الدور:

  1. في مدخل Azure، انتقل إلى مجموعة الموارد وحدد مجموعة الموارد الخاصة بك.
  2. انتقل إلى Access control (IAM) من اللوحة اليسرى.
  3. انقر فوق إضافة، ثم حدد إضافة تعيين دور.
  4. حدد المساهم كدور وانقر فوق التالي.
  5. في تعيين الوصول إلى، حدد User, group, or service principal.
  6. انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
  7. انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.

رابط المرجع:/azure/role-based-access-control/role-assignments-portal

الخطوة 6 - تحميل csv مع المتهمين في قائمة المراقبة

اتبع الخطوات الواردة في هذا القسم لتحميل csv الذي يحتوي على مؤشرات في قائمة المشاهدة:

  1. في مدخل Azure، انتقل إلى Microsoft Sentinel وحدد مساحة العمل الخاصة بك.
  2. انتقل إلى Watchlist ضمن قسم Configuration من اللوحة اليسرى.
  3. انقر فوق TeamCymruScoutDomainData، ثم حدد Bulk update من Update watchlist.
  4. قم بتحميل ملفات csv باستخدام مؤشرات المجال في تحميل إدخال الملف وانقر على Next: Review+Create.
  5. بمجرد نجاح التحقق من الصحة، انقر فوق تحديث.
  6. اتبع نفس الخطوات لتحديث قائمة مراقبة TeamCymruScoutIPData لمؤشرات IP.

ارتباط مرجعي:تحديث مجمع لقائمة مشاهدة

الخطوة 7 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات TeamCymruScout، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من التالي) متوفرين بسهولة..، بالإضافة إلى بيانات اعتماد TeamCymruScout.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات TeamCymruScout.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Location WorkspaceName Function Name TeamCymruScoutBaseURL AuthenticationType Username Password APIKey IPValues DomainValues APIType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات TeamCymruScout يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، CymruScoutXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.12 أو أعلى.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد + New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، بقيمها الخاصة (حساسة لحالة الأحرف): CymruScoutBaseURL AuthenticationType TeamCymruScoutUsername TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_TABLES

  12. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



التعرض للهوية القابلة للإيجار

مدعوم من قبل:Tenable

يسمح موصل التعرض للهوية القابلة للتضمين بمؤشرات التعرض ومؤشرات الهجوم وسجلات التدفق اللاحق ليتم استيعابها في Microsoft Sentinel. تسمح لك دفاتر العمل المختلفة ومحللات البيانات بمعالجة السجلات بسهولة أكبر ومراقبة بيئة Active Directory الخاصة بك. تسمح لك القوالب التحليلية بأتمتة الاستجابات فيما يتعلق بالأحداث والتعرضات والهجمات المختلفة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Tenable_IE_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الوصول إلى تكوين TenableIE: أذونات لتكوين محرك تنبيه syslog

إرشادات الإعداد:

يعتمد موصل البيانات هذا على afad_parser استنادا إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره باستخدام Microsoft Sentinel Solution.

1. تكوين خادم Syslog

ستحتاج أولا إلى خادم Linux Syslog الذي سترسل TenableIE السجلات إليه. عادة ما يمكنك تشغيل rsyslog على Ubuntu. يمكنك بعد ذلك تكوين هذا الخادم كما تريد، ولكن يوصى بأن تكون قادرا على إخراج سجلات TenableIE في ملف منفصل.

تكوين rsyslog لقبول السجلات من عنوان IP TenableIE الخاص بك. اختر أحد الخيارات التالية:

الخيار 1: استخدام توجيه AllowedSender

يقيد هذا التكوين المضيفين الذين يمكنهم إرسال السجلات إلى خادم syslog على مستوى الشبكة. إنه أكثر أمانا لأنه يرفض الاتصالات غير المصرح بها قبل معالجتها.

  1. تنزيل ملف التكوين: 80-tenable-allowedsender.conf
  2. تشغيل في وضع sudo: sudo -i
  3. تعيين عنوان IP TenableIE الخاص بك: export TENABLE_IE_IP={Enter your IP address}
  4. تنفيذ الأوامر من ملف التكوين الذي تم تنزيله
  5. إعادة تشغيل rsyslog: systemctl restart rsyslog

الخيار 2: تصفية السجلات حسب عنوان IP المصدر (للبيئات ذات مصادر syslog متعددة)

يقبل هذا التكوين جميع السجلات الواردة ولكنه يعالج فقط تلك من عنوان IP TenableIE المحدد. وهو مفيد بشكل خاص عندما يكون لديك عدة خوادم syslog أو تطبيقات ترسل سجلات إلى نفس خادم syslog، وتريد معالجة سجلات TenableIE فقط بشكل انتقائي.

  1. تنزيل ملف التكوين: 80-tenable-filter.conf
  2. تشغيل في وضع sudo: sudo -i
  3. تعيين عنوان IP TenableIE الخاص بك: export TENABLE_IE_IP={Enter your IP address}
  4. تنفيذ الأوامر من ملف التكوين الذي تم تنزيله
  5. إعادة تشغيل rsyslog: systemctl restart rsyslog

2. تثبيت وكيل Microsoft وإلحاقه Linux

سيتلقى عامل OMS أحداث TenableIE syslog وينشرها في Microsoft Sentinel :

اختر مكان تثبيت العامل:

تثبيت العامل على الجهاز الظاهري Azure Linux

حدد الجهاز لتثبيت العامل عليه ثم انقر فوق اتصال.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

تثبيت عامل على جهاز غير Azure Linux

قم بتنزيل العامل على الجهاز ذي الصلة واتبع الإرشادات.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

3. تحقق من سجلات العامل على خادم Syslog

tail -f /var/opt/microsoft/omsagent/log/omsagent.log

4. تكوين TenableIE لإرسال السجلات إلى خادم Syslog الخاص بك

في مدخل TenableIE الخاص بك، انتقل إلى النظاموالتكوين ثم Syslog. من هناك يمكنك إنشاء تنبيه Syslog جديد نحو خادم Syslog الخاص بك.

بمجرد الانتهاء من ذلك، تحقق من جمع السجلات بشكل صحيح على الخادم الخاص بك في ملف منفصل (للقيام بذلك، يمكنك استخدام زر اختبار التكوين في تكوين تنبيه Syslog في TenableIE). إذا استخدمت قالب التشغيل السريع، فسيستمع خادم Syslog افتراضيا إلى المنفذ 514 في UDP و1514 في TCP، دون TLS.

ملاحظة: يقوم كلا خياري التكوين من الخطوة 1 بتكوين خادم syslog للاستماع إلى المنفذ 514 لكل من اتصالات UDP وTCP.

5. تكوين السجلات المخصصة

تكوين العامل لجمع السجلات.

  1. في Microsoft Sentinel، انتقل إلى التكوين -> الإعدادات -> إعدادات مساحة العمل -> السجلات المخصصة.
  2. انقر فوق إضافة سجل مخصص.
  3. تحميل نموذج TenableIE.log ملف Syslog من جهاز Linux الذي يقوم بتشغيل خادم Syslog وانقر فوق التالي
  4. قم بتعيين محدد السجل إلى سطر جديد إذا لم يكن الحالة بالفعل وانقر فوق التالي.
  5. حدد Linux وأدخل مسار الملف إلى ملف Syslog، وانقر فوق + ثم التالي. الموقع الافتراضي للملف هو /var/log/TenableIE.log إذا كان لديك إصدار <Tenable 3.1.0، فيجب عليك أيضا إضافة موقع /var/log/AlsidForAD.logملف linux هذا .
  6. قم بتعيين الاسم إلى Tenable_IE_CL (Azure يضيف تلقائيا _CL في نهاية الاسم، يجب أن يكون هناك اسم واحد فقط، تأكد من عدم Tenable_IE_CL_CL الاسم).
  7. انقر فوق التالي، سترى سيرة ذاتية، ثم انقر فوق إنشاء

6. استمتع!

يجب أن تكون الآن قادرا على تلقي السجلات في جدول Tenable_IE_CL ، ويمكن تحليل بيانات السجلات باستخدام الدالة afad_parser() المستخدمة من قبل جميع نماذج الاستعلام والمصنفات والقوالب التحليلية.



إدارة الثغرات الأمنية القابلة للإيجار (باستخدام وظائف Azure)

مدعوم من قبل:Tenable

يوفر موصل بيانات TVM القدرة على استيعاب بيانات الأصول والثغرات الأمنية والتوافق وأصول WAS والثغرات الأمنية WAS في Microsoft Sentinel باستخدام واجهات برمجة تطبيقات TVM REST. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يوفر الموصل القدرة على الحصول على البيانات التي تساعد على فحص المخاطر الأمنية المحتملة، والحصول على نظرة ثاقبة على أصول الحوسبة الخاصة بك، وتشخيص مشكلات التكوين والمزيد

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Tenable_VM_Asset_CL نعم نعم
Tenable_VM_Vuln_CL نعم نعم
Tenable_VM_Compliance_CL نعم نعم
Tenable_WAS_Asset_CL نعم نعم
Tenable_WAS_Vuln_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب كل من TenableAccessKeyوTenableSecretKey للوصول إلى واجهة برمجة تطبيقات REST Tenable. لمزيد من المعلومات، راجع واجهة برمجة التطبيقات. تحقق من جميع المتطلبات واتبع الإرشادات للحصول على بيانات الاعتماد.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل Azure Durable Functions للاتصال بواجهة برمجة تطبيقات TenableVM لسحب الأصولوالثغرات الأمنيةوالتوافق (إذا تم تحديدها) في فاصل زمني منتظم إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل TenableVM للثغرات الأمنيةومحلل TenableVM للأصول استنادا إلى دالة Kusto للعمل كما هو متوقع والذي يتم نشره مع Microsoft Sentinel Solution.

الخطوة 1 - خطوات التكوين ل TenableVM

اتبع الإرشادات للحصول على بيانات اعتماد واجهة برمجة التطبيقات المطلوبة.

الخطوة 2 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ موصل بيانات TenableVM.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 3 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ موصل بيانات TenableVM. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ TenableVM Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 4 - الحصول على معرف العنصر للتطبيق الخاص بك في Microsoft Entra ID

بعد إنشاء تسجيل التطبيق، اتبع الخطوات الواردة في هذا القسم للحصول على معرف العنصر:

  1. انتقل إلى Microsoft Entra ID.
  2. حدد Enterprise applications من القائمة اليسرى.
  3. ابحث عن التطبيق الذي تم إنشاؤه حديثا في القائمة (يمكنك البحث حسب الاسم الذي قدمته).
  4. انقر على التطبيق.
  5. في صفحة النظرة العامة، انسخ معرف الكائن. هذا هو AzureEntraObjectId المطلوب لتعيين دور قالب ARM.

الخطوة 5 - اختر واحدا من خياري النشر التاليين لنشر الموصل Azure Function App المقترن

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات تقرير إدارة الثغرات الأمنية TenableVM باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد واسم FunctionApp والموقع.

  3. أدخل المعلومات أدناه:

    أ. WorkspaceName - أدخل اسم مساحة العمل لمساحة عمل تحليلات السجل.

    ب. TenableAccessKey - أدخل مفتاح Access لاستخدام واجهة برمجة التطبيقات Tenable.

    ج. TenableSecretKey - أدخل Tenable Secret Key للمصادقة.

    د. AzureClientID - أدخل Azure معرف العميل.

    ه. AzureClientSecret - أدخل Azure سر العميل.

    و. TenantID - أدخل معرف المستأجر الذي حصلت عليه من الخطوات أعلاه.

    ز. AzureEntraObjectId - أدخل Azure معرف الكائن الذي حصلت عليه من الخطوات أعلاه.

    ح. LowestSeveritytoStore - أقل خطورة ثغرة أمنية لتخزينها. القيم المسموح بها: معلومات، منخفضة، متوسطة، عالية، حرجة. الافتراضي هو معلومات.

    i. ComplianceDataIngestion - حدد true إذا كنت تريد تمكين استيعاب بيانات التوافق من Tenable VM. الافتراضي خطأ.

    ي. WASAssetDataIngestion - حدد true إذا كنت تريد تمكين استيعاب بيانات أصول WAS من Tenable VM. الافتراضي خطأ.

    ك. WASVulnerabilityDataIngestion - حدد true إذا كنت تريد تمكين استيعاب بيانات WAS Vulnerability من Tenable VM. الافتراضي خطأ.

    l. LowestSeveritytoStoreWAS - أقل خطورة ثغرة أمنية لتخزين WAS. القيم المسموح بها: معلومات، منخفضة، متوسطة، عالية، حرجة. الافتراضي هو معلومات.

    م. TenableExportScheduleInMinutes - جدولة بالدقائق لإنشاء مهمة تصدير جديدة من Tenable VM. الافتراضي هو 1440.

    ن. AssetTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات الأصول.

    يا. VulnTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات الثغرات الأمنية.

    ف. ComplianceTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات التوافق.

    س. WASAssetTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات أصول WAS.

    R. WASVulnTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات الثغرات الأمنية WAS.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات تقرير إدارة الثغرات الأمنية TenableVM يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال TenableVMXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.12.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف):

    أ. WorkspaceName - أدخل اسم مساحة العمل لمساحة عمل تحليلات السجل.

    ب. TenableAccessKey - أدخل مفتاح Access لاستخدام واجهة برمجة التطبيقات Tenable.

    ج. TenableSecretKey - أدخل Tenable Secret Key للمصادقة.

    د. AzureClientID - أدخل Azure معرف العميل.

    ه. AzureClientSecret - أدخل Azure سر العميل.

    و. TenantID - أدخل معرف المستأجر الذي حصلت عليه من الخطوات أعلاه.

    ز. AzureEntraObjectId - أدخل Azure معرف الكائن الذي حصلت عليه من الخطوات أعلاه.

    ح. LowestSeveritytoStore - أقل خطورة ثغرة أمنية لتخزينها. القيم المسموح بها: معلومات، منخفضة، متوسطة، عالية، حرجة. الافتراضي هو معلومات.

    i. ComplianceDataIngestion - حدد true إذا كنت تريد تمكين استيعاب بيانات التوافق من Tenable VM. الافتراضي خطأ.

    ي. WASAssetDataIngestion - حدد true إذا كنت تريد تمكين استيعاب بيانات أصول WAS من Tenable VM. الافتراضي خطأ.

    ك. WASVulnerabilityDataIngestion - حدد true إذا كنت تريد تمكين استيعاب بيانات WAS Vulnerability من Tenable VM. الافتراضي خطأ.

    l. LowestSeveritytoStoreWAS - أقل خطورة ثغرة أمنية لتخزين WAS. القيم المسموح بها: معلومات، منخفضة، متوسطة، عالية، حرجة. الافتراضي هو معلومات.

    م. TenableExportScheduleInMinutes - جدولة بالدقائق لإنشاء مهمة تصدير جديدة من Tenable VM. الافتراضي هو 1440.

    ن. AssetTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات الأصول.

    يا. VulnTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات الثغرات الأمنية.

    ف. ComplianceTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات التوافق.

    س. WASAssetTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات أصول WAS.

    R. WASVulnTableName - أدخل اسم الجدول المستخدم لتخزين سجلات بيانات الثغرات الأمنية WAS.

    S. PyTenableUAVendor - يجب تعيين القيمة إلى Microsoft.

    تي. PyTenableUAProduct - يجب تعيين القيمة إلى Microsoft Sentinel.

    يو. PyTenableUABuild - يجب تعيين القيمة إلى 3.1.0.

  12. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



Microsoft Defender المستندة إلى المستأجر للسحابة

مدعوم من قبل:Microsoft Corporation

Microsoft Defender للسحابة هي أداة إدارة أمان تسمح لك بالكشف عن التهديدات والاستجابة لها بسرعة عبر أحمال العمل Azure والمختلطة ومتعددة السحابات. يسمح لك هذا الموصل ببث تنبيهات أمان MDC من Microsoft 365 Defender إلى Microsoft Sentinel، حتى تتمكن من الاستفادة من مزايا ارتباطات XDR التي تربط النقاط عبر موارد السحابة والأجهزة والهويات وعرض البيانات في المصنفات والاستعلامات والتحقيق في الحوادث والاستجابة لها. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityAlert نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

توصيل Microsoft Defender المستندة إلى المستأجر للسحابة Microsoft Sentinel

بعد توصيل هذا الموصل، سيتم إرسال جميع تنبيهات Microsoft Defender لاشتراكات السحابة إلى مساحة العمل Microsoft Sentinel هذه.

يتم توصيل Microsoft Defender لتنبيهات السحابة للبث عبر Microsoft 365 Defender. للاستفادة من التجميع التلقائي للتنبيهات في الحوادث، قم بتوصيل موصل أحداث Microsoft 365 Defender. يمكن عرض الحوادث في قائمة انتظار الحوادث.



TheHive (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات TheHive القدرة على استيعاب بيانات النظام الأساسي للاستجابة لحوادث أمان TheHive في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يوفر الموصل القدرة على الحصول على الحالات والمهام والتنبيهات من TheHive وتصورها في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
TheHiveData لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • الوصول إلى واجهة برمجة التطبيقاتHive: مطلوب الوصول إلى واجهة برمجة التطبيقات TheHive الإصدار 4 والإصدارات الأحدث لواجهة برمجة تطبيقات TheHive.

إرشادات الإعداد:

1. التكوين

اتبع الإرشادات لتكوين موصل TheHive.

  • عنوان URL الأساسي لHive: (عنوان URL الأساسي لمثيل TheHive (على سبيل المثال، https://thehive.example.com)) احصل على مفتاح API من إعدادات ملف تعريف المستخدم TheHive. (أو مستخدم مخصص تم إنشاؤه لهذا الغرض)

  • مفتاح واجهة برمجة التطبيقات: (مفتاح واجهة برمجة التطبيقات لواجهة برمجة التطبيقات TheHive)

2. الاتصال

تمكين موصل TheHive.

  • تمكين/تعطيل الاتصال



سوم

مدعوم من قبل:Theom

يمكن Theom Data Connector المؤسسات من توصيل بيئة Theom الخاصة بها Microsoft Sentinel. يمكن هذا الحل المستخدمين من تلقي تنبيهات حول مخاطر أمان البيانات، وإنشاء الحوادث وإثرائها، والتحقق من الإحصائيات وتشغيل أدلة مبادئ SOAR في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
TheomAlerts_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

  1. في Theom UI Console، انقر فوق Manage -> Alerts على الشريط الجانبي.
  2. حدد علامة التبويب Sentinel.
  3. انقر فوق الزر Active لتمكين التكوين.
  4. أدخل Primary المفتاح ك Authorization Token
  5. أدخل Endpoint URL ك https://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01
  6. انقر فوق SAVE SETTINGS
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



التحليل الذكي للمخاطر - TAXII

مدعوم من قبل:Microsoft Corporation

يتكامل Microsoft Sentinel مع مصادر بيانات TAXII 2.0 و2.1 لتمكين المراقبة والتنبيه والتتبع باستخدام التحليل الذكي للمخاطر. استخدم هذا الموصل لإرسال أنواع عناصر STIX المدعومة من خوادم TAXII إلى Microsoft Sentinel. يمكن أن تتضمن مؤشرات التهديد عناوين IP والمجالات وعناوين URL وتجزئة الملفات. لمزيد من المعلومات، راجع وثائق >Microsoft Sentinel .

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

الأنظمة الأساسية للتحليل الذكي للمخاطر

مدعوم من قبل:Microsoft Corporation

يتكامل Microsoft Sentinel مع Microsoft Graph واجهة برمجة تطبيقات الأمان مصادر البيانات لتمكين المراقبة والتنبيه والتتبع باستخدام التحليل الذكي للمخاطر. استخدم هذا الموصل لإرسال مؤشرات التهديد إلى Microsoft Sentinel من النظام الأساسي للتحليل الذكي للمخاطر (TIP)، مثل Threat Connect أو Palo Alto Networks MindMeld أو MISP أو تطبيقات متكاملة أخرى. يمكن أن تتضمن مؤشرات التهديد عناوين IP والمجالات وعناوين URL وتجزئة الملفات. لمزيد من المعلومات، راجع وثائق >Microsoft Sentinel .

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

واجهة برمجة تطبيقات تحميل التحليل الذكي للمخاطر (معاينة)

مدعوم من قبل:Microsoft Corporation

يوفر Microsoft Sentinel واجهة برمجة تطبيقات لمستوى البيانات لجلب التحليل الذكي للمخاطر من النظام الأساسي للتحليل الذكي للمخاطر (TIP)، مثل Threat Connect أو Palo Alto Networks MineMeld أو MISP أو التطبيقات المتكاملة الأخرى. يمكن أن تتضمن مؤشرات التهديد عناوين IP والمجالات وعناوين URL وتجزئة الملفات وعناوين البريد الإلكتروني. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

**يمكنك توصيل مصادر بيانات التحليل الذكي للمخاطر Microsoft Sentinel إما عن طريق: **

استخدام نظام أساسي متكامل للتحليل الذكي للمخاطر (TIP)، مثل Threat Connect وPalo Alto Networks MineMeld و MISP وغيرها.

استدعاء واجهة برمجة تطبيقات مستوى البيانات Microsoft Sentinel مباشرة من تطبيق آخر.

  • ملاحظة: لن تظهر "حالة" الموصل على أنها "متصلة" هنا، لأنه يتم استيعاب البيانات عن طريق إجراء استدعاء واجهة برمجة التطبيقات.

**اتبع هذه الخطوات للاتصال بالتحليل الذكي للمخاطر: **

1. الحصول على الرمز المميز للوصول Microsoft Entra ID

لإرسال طلب إلى واجهات برمجة التطبيقات، تحتاج إلى الحصول على رمز وصول Microsoft Entra ID. يمكنك اتباع التعليمات في هذه الصفحة: /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

  • إشعار: يرجى طلب Microsoft Entra ID الرمز المميز للوصول بقيمة النطاق: [variables('managementUri')]

2. إرسال كائنات STIX إلى Sentinel

يمكنك إرسال أنواع عناصر STIX المدعومة عن طريق استدعاء واجهة برمجة تطبيقات Upload. لمزيد من المعلومات حول واجهة برمجة التطبيقات، انقر هنا.

أسلوب HTTP: POST

نقطة النهاية: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01-preview

WorkspaceID: مساحة العمل التي يتم تحميل كائنات STIX إليها.

قيمة العنوان 1: "التخويل" = "حامل [Microsoft Entra ID الرمز المميز للوصول من الخطوة 1]"

قيمة العنوان 2: "نوع المحتوى" = "application/json"

النص الأساسي: النص الأساسي هو كائن JSON يحتوي على صفيف من عناصر STIX.



إرسال موصل الأمان (باستخدام وظائف Azure)

مدعوم من قبل:إرسال الأمان

يوفر موصل البيانات [إرسال الأمان] القدرة على استيعاب أحداث الإرسال واجهة برمجة تطبيقات الأمان الشائعة في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
TransmitSecurityActivity_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • معرف عميل REST API: TransmitSecurityClientID مطلوب. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على https://developer.transmitsecurity.com/.
  • REST API Client Secret: TransmitSecurityClientSecret مطلوب. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على https://developer.transmitsecurity.com/.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال واجهة برمجة تطبيقات الأمان الإرسال لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين واجهة برمجة تطبيقات الأمان الإرسال

اتبع الإرشادات للحصول على بيانات الاعتماد.

  1. سجل الدخول إلى مدخل أمان الإرسال.
  2. تكوين تطبيق إدارة. امنح التطبيق اسما مناسبا، على سبيل المثال، MyAzureSentinelCollector.
  3. احفظ بيانات اعتماد المستخدم الجديد لاستخدامها في موصل البيانات.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات إرسال الأمان، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخه من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات إرسال الأمان باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة موارد موجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة.

  1. أدخل TransmitSecurityClientID، وSececretSecurityClientSecret، وSysecerSecurityPullEndpoint، وSecersecurityTokenEndpoint، ثم قم بالتوزيع.

  2. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  3. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات إرسال الأمان يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد VS Code لتطوير وظيفة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app.

    إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure.

    إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced).

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure.

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي توجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. حدد متغيرات البيئة.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف):

    • معرف أمان الإرسال
    • إرسال الأمانClientSecret
    • إرسالSecurityPullEndpoint
    • نقطة نهاية الرمز المميز ل TransmitSecurity
    • معرف مساحة العمل
    • مفتاح مساحة العمل
    • logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل لمجموعة مخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق تطبيق.



أمان نقطة نهاية Trellix (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يمكنك موصل بيانات Trellix Endpoint Security من استيعاب أحداث الأمان من Trellix ePO (ePolicy Orchestrator) إلى Microsoft Sentinel. يستخدم هذا الموصل مصادقة بيانات اعتماد عميل OAuth2 ويعالج ترقيم الصفحات تلقائيا لجمع بيانات أمان نقطة النهاية الشاملة بما في ذلك اكتشافات التهديدات ومعلومات المحلل وتفاصيل النظام المصدر والهدف وإجراءات الاستجابة للتهديدات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
TrellixEvents لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

1. تكوين واجهة برمجة التطبيقات

تكوين اتصال واجهة برمجة تطبيقات Trellix ePO.

قم بتوفير مفتاح API للمصادقة. سيتم إرسال هذا في عنوان x-api-key.

  • مفتاح واجهة برمجة التطبيقات: (أدخل مفتاح API الخاص بك)

ملاحظة: سيتم تخزين مفتاح واجهة برمجة التطبيقات بشكل آمن واستخدامه للمصادقة مع واجهة برمجة تطبيقات Trellix ePO.

2. تكوين المصادقة

تكوين بيانات اعتماد مصادقة OAuth2.

ملاحظة: توفر مصادقة OAuth2 وصولا آمنا إلى نقاط نهاية واجهة برمجة التطبيقات.

3. تمكين الموصل

تنشيط موصل Trellix Endpoint Security

تنشيط الموصل

راجع التكوين الخاص بك وقم بتمكين الموصل لبدء جمع أحداث الأمان.

  • تمكين/تعطيل الاتصال بعد الاتصال

بعد الاتصال، راقب حالة الموصل في صفحة موصلات البيانات . يجب أن تبدأ البيانات في الظهور في غضون 5-10 دقائق.



Trend Vision One (باستخدام وظائف Azure)

مدعوم من قبل:Trend Micro

يسمح لك موصل Trend Vision One بتوصيل بيانات تنبيه Workbench بسهولة Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين قدرات المراقبة والتحقيق. يمنحك هذا مزيدا من التفاصيل حول شبكات/أنظمة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك.

يتم دعم موصل Trend Vision One في Microsoft Sentinel في المناطق التالية: شرق أستراليا، وجنوب شرق أستراليا، وجنوب البرازيل، ومنطقة وسط كندا، وشرق كندا، ووسط الهند، ووسط الولايات المتحدة، وشرق آسيا، وشرق الولايات المتحدة، وشرق الولايات المتحدة 2، وفرنسا الوسطى، وشرق اليابان، وكوريا الوسطى، وشمال وسط الولايات المتحدة، وشمال أوروبا، وشرق النرويج، وجنوب أفريقيا، وشمال أفريقيا، وجنوب وسط الولايات المتحدة، وجنوب شرق آسيا، والسويد الوسطى، شمال سويسرا، شمال الإمارات العربية المتحدة، جنوب المملكة المتحدة، غرب المملكة المتحدة، غرب أوروبا، غرب الولايات المتحدة، غرب الولايات المتحدة 2، غرب الولايات المتحدة 3.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
TrendMicro_XDR_WORKBENCH_CL لا لا
TrendMicro_XDR_RCA_Task_CL لا لا
TrendMicro_XDR_RCA_Result_CL لا لا
TrendMicro_XDR_OAT_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • رمز واجهة برمجة تطبيقات Trend Vision One: مطلوب رمز واجهة برمجة تطبيقات Trend Vision One. راجع الوثائق لمعرفة المزيد حول واجهة برمجة تطبيقات Trend Vision One.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Trend Vision One لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Trend Vision One

اتبع هذه الإرشادات لإنشاء حساب ورمز مميز لمصادقة واجهة برمجة التطبيقات.

الخطوة 2 - استخدام خيار النشر أدناه لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل Trend Vision One، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى رمز تخويل واجهة برمجة تطبيقات Trend Vision One، المتوفر بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

توزيع قالب Azure Resource Manager (ARM)

يوفر هذا الأسلوب توزيعا تلقائيا لموصل Trend Vision One باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل اسم دالة فريد ومعرف مساحة العمل ومفتاح مساحة العمل ورمز واجهة برمجة التطبيقات ورمز المنطقة.

  • ملاحظة: توفير التعليمات البرمجية المناسبة للمنطقة استنادا إلى مكان نشر مثيل Trend Vision One: us, eu, au, in, sg, jp
  • ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.
  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
  2. انقر فوق شراء للنشر.



أمان Tropico - التنبيهات

مدعوم من قبل:أمان TROPICO

استيعاب تنبيهات الأمان من Tropico Security Platform بتنسيق OCSF Security Finding.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
{{graphQueriesTableName}} لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

الاتصال بالنظام الأساسي لأمان Tropico

أدخل مفتاح واجهة برمجة التطبيقات للقراءة فقط من إعدادات Tropico.

  • مفتاح واجهة برمجة التطبيقات: (trop_xxxx...)
  • تمكين/تعطيل الاتصال



أمان Tropico - الأحداث

مدعوم من قبل:أمان TROPICO

استيعاب أحداث الأمان من Tropico Security Platform بتنسيق OCSF Security Finding.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
{{graphQueriesTableName}} لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

الاتصال بالنظام الأساسي لأمان Tropico

أدخل مفتاح واجهة برمجة التطبيقات للقراءة فقط من إعدادات Tropico.

  • مفتاح واجهة برمجة التطبيقات: (trop_xxxx...)
  • تمكين/تعطيل الاتصال



أمان تروبيكو - الحوادث

مدعوم من قبل:أمان TROPICO

استيعاب حوادث جلسة المهاجم من منصة أمان Tropico.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
{{graphQueriesTableName}} لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

الاتصال بالنظام الأساسي لأمان Tropico

أدخل مفتاح واجهة برمجة التطبيقات للقراءة فقط من إعدادات Tropico.

  • مفتاح واجهة برمجة التطبيقات: (trop_xxxx...)
  • تمكين/تعطيل الاتصال



Upwind Logs Loader (واجهة برمجة تطبيقات الاستيعاب)

مدعوم من قبل:Upwind

يدمج موصل بيانات Upwind Logs Loader أصول النظام الأساسي للحساب من النظام الأساسي لأمان سحابة Upwind في جدول مخصص Microsoft Sentinel باستخدام وظيفة Azure وواجهة برمجة تطبيقات Azure Monitor Ingestion (DCE/DCR).

يوفر Upwind أمان سحابي يعمل بوقت التشغيل، ويربط وضع السحابة بسياق حمل العمل المباشر. يعرض هذا الموصل مخزون Upwind — أصول النظام الأساسي للحساب عبر AWS وGCP Azure — مباشرة في Microsoft Sentinel للارتباط والتتبع وإثراء الحوادث.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
UpwindLogsAssets_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد واجهة برمجة التطبيقات Upwind: مطلوب معرف عميل واجهة برمجة تطبيقات Upwind وسر العميل. احصل عليها من النظام الأساسي Upwind ضمن الإعدادات → مفاتيح واجهة برمجة التطبيقات. يتم استخدام بيانات اعتماد العميل للمصادقة مقابل https://auth.upwind.io/oauth/token للحصول على رمز مميز للحامل.
  • معرف مؤسسة Upwind: معرف مؤسسة Upwind مطلوب. ابحث عنه في النظام الأساسي Upwind ضمن الإعدادات → Organization.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure وواجهة برمجة تطبيقات Azure Monitor Ingestion (DCE/DCR) لدفع سجلات Upwind إلى Microsoft Sentinel. ينشئ قالب ARM تلقائيا نقطة نهاية تجميع البيانات وجدول السجل المخصص (UpwindLogsAssets_CL) وقاعدة تجميع البيانات وتعيين الدور. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azureوصفحة تسعير Azure Monitor للحصول على التفاصيل.

(اختياري) أثناء التوزيع، اختر Key Vault كطريقة مصادقة لتخزين سر عميل Upwind بشكل آمن. يمكنك توفير اسم Key Vault موجود أو السماح للقالب بإنشاء اسم جديد. يتم تكوين الهوية المدارة المعينة من قبل المستخدم تلقائيا باستخدام نهج الوصول Key Vault المطلوبة.

الخطوة 1 - الحصول على بيانات اعتماد واجهة برمجة التطبيقات Upwind

  1. سجل الدخول إلى النظام الأساسي Upwind.
  2. انتقل إلى الإعدادات → مفاتيح واجهة برمجة التطبيقات.
  3. أنشئ مفتاح API جديدا ولاحظ معرف العميل وسر العميل.
  4. انتقل إلى الإعدادات → المؤسسة ولاحظ معرف مؤسستك.

الخطوة 2 - توزيع Azure Function App

انقر فوق Deploy Azure واملأ المعلمات. ينشئ القالب تلقائيا DCE والجدول UpwindLogs_CL وDCR وتعيين الدور و Function App.

aka.ms

المعلمات المراد تعبئتها:

المعلمه الوصف
WorkspaceName اسم مساحة عمل Log Analytics / Microsoft Sentinel
UpwindOrgId معرف مؤسسة Upwind من الخطوة 1
UpwindClientId معرف عميل واجهة برمجة تطبيقات Upwind من الخطوة 1
UpwindClientSecret سر عميل واجهة برمجة تطبيقات Upwind من الخطوة 1
AppInsightsWorkspaceResourceID معرف المورد الكامل لمساحة عمل Log Analytics (من مساحة عمل Log Analytics → Properties)
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>



إشارات سلوكية لعامل Vaikora AI

مدعوم من قبل:Data443 Risk Mitigation, Inc.

استيعاب الإشارات السلوكية لعامل الذكاء الاصطناعي من واجهة برمجة تطبيقات Vaikora إلى Microsoft Sentinel باستخدام إطار عمل الموصل بدون تعليمات برمجية (CCF). مراقبة إجراءات العامل وقرارات النهج ودرجات الشذوذ ومستويات المخاطر للكشف عن نشاط الذكاء الاصطناعي المشبوه في بيئتك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Vaikora_AgentSignals_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • مفتاح واجهة برمجة تطبيقات Vaikora: مفتاح واجهة برمجة تطبيقات Vaikora (vk_xxxxx) مع حق الوصول للقراءة إلى نقطة نهاية الإجراءات. احصل على هذا من لوحة معلومات Vaikora ضمن Settings > API Keys.

إرشادات الإعداد:

توصيل الإشارات السلوكية لعامل Vaikora AI

لتمكين موصل Vaikora، أدخل مفتاح Vaikora API أدناه وانقر فوق Connect. معرف العامل اختياري؛ استخدمه لتوسيع نطاق الاستيعاب إلى عامل واحد، أو اتركه فارغا لاستيعاب الإجراءات من جميع العوامل التي يمكن للمفتاح رؤيتها.

يتوفر مفتاح API الخاص بك في لوحة معلومات Vaikora ضمن Settings > API Keys. معرف العامل هو UUID الموضح في صفحة تفاصيل كل عامل.

  • مفتاح واجهة برمجة تطبيقات Vaikora: (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
  • معرف عامل Vaikora (اختياري): (اتركه فارغا لمراقبة جميع العوامل)
  • تمكين/تعطيل الاتصال



Valimail فرض أحداث التكوين

مدعوم من قبل:فاليمايل

يسمح موصل بيانات أحداث تكوين Valimail استيعاب أحداث تكوين مجال البريد الإلكتروني من واجهة برمجة تطبيقات إعداد التقارير من Valimail إلى Microsoft Sentinel. تم إنشاء موصل البيانات على Microsoft Sentinel Codeless Connector Framework.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ValimailEnforceEvents_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

خطوات التكوين لواجهة برمجة تطبيقات أحداث Valimail اتبع الإرشادات الواردة في الدليل لإنشاء مجموعة من بيانات اعتماد واجهة برمجة تطبيقات التقارير. قم بتخزين معرف العميل الذي تم إنشاؤه ومفاتيح معرف التطبيق.

  • Slug حساب العميل: (مائل الحساب)
  • معرف عميل واجهة برمجة التطبيقات: (بيانات اعتماد معرف العميل)
  • معرف تطبيق API: (بيانات اعتماد معرف التطبيق)
  • تمكين/تعطيل الاتصال



Varonis Purview Push Connector

مدعوم من قبل:Varonis

يوفر موصل Varonis Purview القدرة على مزامنة الموارد من Varonis إلى Microsoft Purview.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
VaronisResources_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR). يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم

إرشادات الإعداد:

1. قم بتشغيل هذا لإعداد استيعاب Varonis Resoources

سيؤدي ذلك إلى إنشاء جداول Log Analytics الضرورية وقاعدة جمع البيانات (DCR) وتطبيق Entra لإرسال البيانات بأمان إلى DCR.

سيؤدي التكوين التلقائي واستيعاب البيانات الآمنة مع Entra التطبيق النقر على "Deploy" إلى إنشاء جداول Log Analytics وقاعدة جمع البيانات (DCR). ثم سيقوم بإنشاء تطبيق Entra، وربط DCR به، وتعيين السر الذي تم إدخاله في التطبيق. يتيح هذا الإعداد إرسال البيانات بأمان إلى DCR باستخدام رمز مميز Entra.

2. دفع سجلاتك إلى مساحة العمل

استخدم المعلمات التالية لتكوين موصل Varonis Purview في لوحة معلومات تكاملات Varonis.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف تطبيق تسجيل التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra App Registration Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Uri لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • الموارد Stream Name: <قيمة متغيرة متوفرة في وقت التثبيت>



Varonis SaaS

مدعوم من قبل:Varonis

يوفر Varonis SaaS القدرة على استيعاب تنبيهات Varonis في Microsoft Sentinel.

يعطي Varonis الأولوية لرؤية البيانات العميقة وقدرات التصنيف والمعالجة التلقائية للوصول إلى البيانات. ينشئ Varonis طريقة عرض واحدة ذات أولوية للمخاطر على بياناتك، بحيث يمكنك القضاء بشكل استباقي ومنتظم على المخاطر من التهديدات الداخلية والهجمات الإلكترونية.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
VaronisAlerts_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بخدمة Varonis DatAlert لسحب التنبيهات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. راجع صفحة تسعير دالات Azure للحصول على التفاصيل.

لاستخدام تثبيت الوظائف والخدمات ذات الصلة Azure:

portal.azure.com

الخطوة 1 - الحصول على بيانات اعتماد واجهة برمجة تطبيقات نقطة النهاية Varonis DatAlert.

لإنشاء معرف العميل ومفتاح API:

  1. قم بتشغيل واجهة ويب Varonis.
  2. انتقل إلى التكوين -> مفاتيح واجهة برمجة التطبيقات. يتم عرض صفحة مفاتيح واجهة برمجة التطبيقات.
  3. انقر فوق إنشاء مفتاح API. يتم عرض إعدادات Add New API Key على اليمين.
  4. املأ الاسم والوصف.
  5. انقر فوق الزر إنشاء مفتاح.
  6. انسخ سر مفتاح API واحفظه في موقع مفيد. لن تتمكن من نسخه مرة أخرى.

للحصول على معلومات إضافية، يرجى التحقق من: وثائق Varonis

الخطوة 2 - نشر الموصل ودالة Azure المقترنة.

  • اسم مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

استخدم هذه الطريقة للتوزيع التلقائي لموصل البيانات باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure.

    portal.azure.com

  2. حدد الاشتراك المفضل، ومجموعة الموارد، والمنطقة، ونوع حساب التخزين.

  3. أدخل Log Analytics Workspace Name، Varonis FQDN، Varonis SaaS API Key.

  4. انقر فوق مراجعة + إنشاء، إنشاء.



Vectra XDR (باستخدام وظائف Azure)

مدعوم من قبل:دعم Vectra

يمنح موصل Vectra XDR القدرة على استيعاب بيانات Vectra Detections و Audits و Entity Scoring و Lockdown و Health و Entities في Microsoft Sentinel من خلال Vectra REST API. راجع وثائق واجهة برمجة التطبيقات: https://support.vectra.ai/s/article/KB-VS-1666 لمزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Detections_Data_CL نعم نعم
Audits_Data_CL نعم نعم
Entity_Scoring_Data_CL نعم نعم
Lockdown_Data_CL نعم نعم
Health_Data_CL نعم نعم
Entities_Data_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب معرف عميل Vectraوسر العميل لصحة وتسجيل الكيان والكيانات والكشف والتأمين وجمع بيانات التدقيق. راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على https://support.vectra.ai/s/article/KB-VS-1666.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Vectra لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظة: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. اتبع هذه الخطوات لموزع الاكتشافات، محلل التدقيقات، محلل تسجيل الكيانات، محلل التأمين ، محلل الصحة لإنشاء الاسم المستعار لوظائف Kusto و VectraDetections و VectraAudits و VectraEntityScoring و VectraLockdown و VectraHealth.

الخطوة 1 - خطوات التكوين لبيانات اعتماد واجهة برمجة تطبيقات Vectra

اتبع هذه الإرشادات لإنشاء معرف عميل Vectra وسر العميل.

  1. تسجيل الدخول إلى مدخل Vectra
  2. انتقل إلى إدارة -> عملاء واجهة برمجة التطبيقات
  3. من صفحة عملاء واجهة برمجة التطبيقات، حدد "إضافة عميل واجهة برمجة التطبيقات" لإنشاء عميل جديد.
  4. أضف اسم العميل، وحدد الدور وانقر على إنشاء بيانات الاعتماد للحصول على بيانات اعتماد العميل.
  5. تأكد من تسجيل معرف العميل والمفتاح السري لحفظه. ستحتاج إلى هاتين المعلومتين للحصول على رمز مميز للوصول من واجهة برمجة تطبيقات Vectra. مطلوب رمز مميز للوصول لتقديم طلبات إلى جميع نقاط نهاية Vectra API.

الخطوة 2 - خطوات تسجيل التطبيق للتطبيق في Microsoft Entra ID

يتطلب هذا التكامل تسجيل تطبيق في مدخل Azure. اتبع الخطوات الواردة في هذا القسم لإنشاء تطبيق جديد في Microsoft Entra ID:

  1. سجّل الدخول إلى مدخل Azure.
  2. ابحث عن Microsoft Entra ID وحددها.
  3. ضمن Manage، حدد App registrations > New registration.
  4. أدخل اسم العرض للتطبيق الخاص بك.
  5. حدد Register لإكمال تسجيل التطبيق الأولي.
  6. عند انتهاء التسجيل، يعرض مدخل Azure جزء نظرة عامة على تسجيل التطبيق. ترى معرف التطبيق (العميل) ومعرف المستأجر. معرف العميل ومعرف المستأجر مطلوب كمعلمات تكوين لتنفيذ Vectra Data Connector.

ارتباط مرجعي:/azure/active-directory/develop/quickstart-register-app

الخطوة 3 - إضافة سر عميل للتطبيق في Microsoft Entra ID

تسمى أحيانا كلمة مرور التطبيق، سر العميل هو قيمة سلسلة مطلوبة لتنفيذ Vectra Data Connector. اتبع الخطوات الواردة في هذا القسم لإنشاء سر عميل جديد:

  1. في مدخل Azure، في تسجيلات التطبيقات، حدد التطبيق الخاص بك.
  2. حدد Certificates & secrets > Client secrets > New client secret.
  3. أضف وصفا لسر العميل الخاص بك.
  4. حدد انتهاء صلاحية للبيانات السرية أو حدد عمرا مخصصا. الحد هو 24 شهرا.
  5. حدد إضافة.
  6. سجل قيمة البيانات السرية لاستخدامها في التعليمات البرمجية لتطبيق العميل. لا يتم عرض هذه القيمة السرية مرة أخرى بعد مغادرة هذه الصفحة. القيمة السرية مطلوبة كمعلمة تكوين لتنفيذ Vectra Data Connector.

الارتباط المرجعي:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

الخطوة 4 - الحصول على معرف العنصر للتطبيق الخاص بك في Microsoft Entra ID

بعد إنشاء تسجيل التطبيق، اتبع الخطوات الواردة في هذا القسم للحصول على معرف العنصر:

  1. انتقل إلى Microsoft Entra ID.
  2. حدد Enterprise applications من القائمة اليسرى.
  3. ابحث عن التطبيق الذي تم إنشاؤه حديثا في القائمة (يمكنك البحث حسب الاسم الذي قدمته).
  4. انقر على التطبيق.
  5. في صفحة النظرة العامة، انسخ معرف الكائن. هذا هو AzureEntraObjectId المطلوب لتعيين دور قالب ARM.

الخطوة 5 - تعيين دور المساهم للتطبيق في Microsoft Entra ID

اتبع الخطوات الواردة في هذا القسم لتعيين الدور:

  1. في مدخل Azure، انتقل إلى مجموعة الموارد وحدد مجموعة الموارد الخاصة بك.
  2. انتقل إلى Access control (IAM) من اللوحة اليسرى.
  3. انقر فوق إضافة، ثم حدد إضافة تعيين دور.
  4. حدد المساهم كدور وانقر فوق التالي.
  5. في تعيين الوصول إلى، حدد User, group, or service principal.
  6. انقر فوق إضافة أعضاء واكتب اسم التطبيق الذي أنشأته وحدده.
  7. انقر الآن فوق Review + assign ثم انقر مرة أخرى فوق Review + assign.

رابط المرجع:/azure/role-based-access-control/role-assignments-portal

الخطوة 6 - إنشاء Keyvault

اتبع هذه الإرشادات لإنشاء Keyvault جديد.

  1. في مدخل Azure، انتقل إلى Key vaults وانقر على Create.
  2. حدد Subsciption و Resource Group وقدم اسما فريدا ل keyvault.

الخطوة 7 - إنشاء نهج الوصول في Keyvault

اتبع هذه الإرشادات لإنشاء نهج الوصول في Keyvault.

  1. انتقل إلى keyvaults، وحدد keyvault، وانتقل إلى Access policies على اللوحة الجانبية اليسرى، وانقر على create.
  2. حدد جميع المفاتيح & أذونات البيانات السرية. انقر فوق التالي.
  3. في القسم الأساسي، ابحث حسب اسم التطبيق الذي تم إنشاؤه في الخطوة - 2. انقر فوق التالي.

ملاحظة: تأكد من تعيين نموذج الإذن في تكوين الوصول Key Vault إلى "نهج الوصول إلى المخزن"

الخطوة 8 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات Vectra، امتلك بيانات اعتماد تخويل واجهة برمجة تطبيقات Vectra متاحة بسهولة.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل Vectra.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلومات أدناه: Function Name Workspace Name Vectra Base URL (https://< vectra-portal-url>) Vectra Client Id - Health Vectra Client Secret Key - Health Vectra Client Id - Entity Scoring Vectra Client Secret - Entity Scoring Vectra Client Id - Detections Vec سر عميل Vectra - Detections Vectra Client Id - Audits Vectra Client Secret - Audits Vectra Client Id - Lockdown Vectra Client Secret - Lockdown Vectra Client Id - Host-Entity Vectra Client Secret - Host-Entity Vectra Client Id - Account-Entity Vectra Client Secret - اسم Account-Entity Key Vault Azure معرف العميل Azure معرف المستأجر السري للعميل Azure Entra ObjectID StartTime (في MM/DD/YYYY HH:MM:SS Format) تتضمن Score Decrease Score Audits Table Name Table Name Entity Scoring Table Name Lockdown Table Name Health Table Name Entityes Name Table Name name name) استبعاد تفاصيل المجموعة من مستوى سجل عمليات الكشف (افتراضي: INFO) تأمين جدولة عمليات الكشف عن جدولة السلامةجدولة عمليات التدقيق جدولة الكيانات جدولة كيانات جدولة تسجيل النقاط

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Vectra يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، VECTRAXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.8 أو أعلى.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد + New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع القيم الخاصة بها (حساسة لحالة الأحرف): معرف مساحة العمل مفتاح Vectra Base URL (https://< vectra-portal-url>) Vectra Client Id - Health Vectra Client Secret Key - Health Vectra Client Id - Entity Scoring Ve سر عميل Vectra - معرف عميل Vectra لتسجيل الكيانات - Detections Vectra Client Secret - Detections Vectra Client Id - Audits Vectra Client Secret - Audits Vectra Client Id - Lockdown Vectra Client Secret - Lockdown Vectra Client Secret - Lockdown معرف عميل Vectra - Host-Entity Vectra Client Secret - Host-Entity Vectra Client Id - Account-Entity Vectra Client Secret - Account-Entity Key Vault Name Azure Azure Client I تاريخ البدء (بتنسيق MM/DD/YYYY HH:MM:SS) يتضمن درجة إنقاص نقاط عمليات تدقيق عمليات الكشف عن اسم الجدول اسم جدول تسجيل اسم جدول اسم جدول تأمين اسم الجدول السلامة اسم الجدول اسم الجدول مستوى سجل اسم الجدول (افتراضي: INFO) تأمين جدولة عمليات الكشف عن جدولة السلامةجدولة عمليات التدقيق جدولة الكيانات جدولة الكيانات جدولة سجل التحليلاتUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل بيانات Veeam (باستخدام وظائف Azure)

مدعوم من قبل:Veeam Software

يتيح لك Veeam Data Connector استيعاب بيانات القياس عن بعد Veeam من جداول مخصصة متعددة في Microsoft Sentinel.

يدعم الموصل التكامل مع الأنظمة الأساسية Veeam Backup & Replication و Veeam ONE و Coveware لتوفير مراقبة شاملة وتحليلات أمنية. يتم جمع البيانات من خلال دالات Azure وتخزينها في جداول Log Analytics المخصصة مع قواعد تجميع البيانات المخصصة (DCR) ونقاط نهاية جمع البيانات (DCE).

الجداول المخصصة المضمنة:

  • VeeamMalwareEvents_CL: أحداث الكشف عن البرامج الضارة من النسخ المتماثل & Veeam Backup
  • VeeamSecurityComplianceAnalyzer_CL: نتائج محلل التوافق & الأمان التي تم جمعها من مكونات البنية الأساسية للنسخ الاحتياطي Veeam
  • VeeamAuthorizationEvents_CL: أحداث التخويل والمصادقة
  • VeeamOneTriggeredAlarms_CL: المنبهات المشغلة من خوادم Veeam ONE
  • VeeamCovewareFindings_CL: نتائج الأمان من حل Coveware
  • VeeamSessions_CL: جلسات Veeam

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
VeeamMalwareEvents_CL نعم نعم
VeeamSecurityComplianceAnalyzer_CL نعم نعم
VeeamOneTriggeredAlarms_CL نعم نعم
VeeamAuthorizationEvents_CL نعم نعم
VeeamCovewareFindings_CL نعم نعم
VeeamSessions_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • الوصول إلى البنية الأساسية Veeam: مطلوب الوصول إلى Veeam Backup & Replication REST API والنظام الأساسي لمراقبة Veeam ONE. يتضمن ذلك بيانات اعتماد المصادقة المناسبة واتصال الشبكة.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهات برمجة تطبيقات Veeam وسحب البيانات إلى جداول مخصصة Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. راجع صفحة تسعير دالات Azure للحصول على التفاصيل.

الخطوة 1 - حدد خيار النشر لموصل بيانات Veeam ووظائف Azure المقترنة

الهامه: قبل نشر Veeam Data Connector، قم بإعداد Workspace Name (يمكن نسخه من ما يلي).

  • اسم مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Veeam باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    portal.azure.com

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل اسم مساحة عمل Microsoft Sentinel.

  4. انقر فوق مراجعة + إنشاء، إنشاء.



VersasecCms

مدعوم من قبل:دعم Versasec

يسمح موصل بيانات VersasecCms بدمج السجلات في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
VersasecCmsSysLogs_CL لا لا
VersasecCmsErrorLogs_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

تكوين

أدخل بيانات الاعتماد ل VersasecCms.

  • عنوان URL للإدارة:
  • المسار الأساسي لواجهة برمجة التطبيقات:
  • الرمز المميز لواجهة برمجة التطبيقات:
  • الفاصل الزمني للاستقصاء (دقائق):
  • تمكين/تعطيل الاتصال



VirtualMetric DataStream Microsoft Sentinel

مدعوم من قبل:VirtualMetric

يوزع موصل VirtualMetric DataStream قواعد جمع البيانات لاستيعاب بيانات تتبع الاستخدام للأمان في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommonSecurityLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • تسجيل التطبيق أو الهوية المدارة Azure: يتطلب VirtualMetric DataStream هوية معرف Entra لمصادقة السجلات وإرسالها إلى Microsoft Sentinel. يمكنك الاختيار بين إنشاء تسجيل تطبيق باستخدام معرف العميل وسر العميل، أو استخدام Azure Managed Identity لتحسين الأمان دون إدارة بيانات الاعتماد.
  • تعيين دور مجموعة الموارد: يجب تعيين الهوية المختارة (تسجيل التطبيق أو الهوية المدارة) إلى مجموعة الموارد التي تحتوي على نقطة نهاية تجميع البيانات مع الأدوار التالية: مراقبة ناشر المقاييس (لاستيعاب السجل) وقارئ المراقبة (لقراءة تكوين الدفق).

إرشادات الإعداد:

تكوين VirtualMetric DataStream Microsoft Sentinel

تكوين VirtualMetric DataStream Microsoft Sentinel لإرسال البيانات.

تسجيل التطبيق في Microsoft Entra ID (اختياري)

اختر أسلوب المصادقة: الخيار أ: استخدام الهوية المدارة Azure (مستحسن)

  • تخطي هذه الخطوة إذا كنت تخطط لاستخدام Azure Managed Identity للمصادقة.
  • Azure توفر الهوية المدارة طريقة مصادقة أكثر أمانا دون إدارة بيانات الاعتماد.

الخيار ب: تسجيل تطبيق كيان الخدمة

  1. افتح صفحة Microsoft Entra ID:

    • انقر فوق الارتباط المتوفر لفتح صفحة تسجيل Microsoft Entra ID في علامة تبويب جديدة.
    • تأكد من تسجيل الدخول باستخدام حساب لديه أذونات مسؤول التطبيق أو المسؤول العام .

  2. إنشاء تطبيق جديد:

    • في مدخل Microsoft Entra ID، حدد تسجيلات التطبيقات من شريط التنقل الأيسر.
    • انقر فوق + تسجيل جديد.
    • املأ الحقول التالية:
  • الاسم: أدخل اسما وصفيا للتطبيق (على سبيل المثال، "VirtualMetric ASIM Connector").
  • أنواع الحسابات المدعومة: اختر الحسابات في هذا الدليل التنظيمي فقط (مستأجر واحد).
  • إعادة توجيه URI: اترك هذا فارغا.
    • انقر فوق تسجيل لإنشاء التطبيق.

  1. نسخ معرفات التطبيق والمستأجر:

    • بمجرد تسجيل التطبيق، لاحظ معرف التطبيق (العميل) ومعرف الدليل (المستأجر) من صفحة نظرة عامة . ستحتاج إلى هذه لتكوين VirtualMetric DataStream.

  2. إنشاء سر العميل:

    • في قسم Certificates & secrets، انقر فوق + New client secret.
    • أضف وصفا (على سبيل المثال، "VirtualMetric ASIM Secret") وقم بتعيين فترة انتهاء صلاحية مناسبة.
    • انقر فوق إضافة.
    • انسخ قيمة سر العميل على الفور، حيث لن يتم عرضها مرة أخرى. قم بتخزين هذا بشكل آمن لتكوين VirtualMetric DataStream.

تعيين الأذونات المطلوبة

قم بتعيين الأدوار المطلوبة لأسلوب المصادقة الذي اخترته (كيان الخدمة أو الهوية المدارة) في مجموعة الموارد.

بالنسبة إلى كيان الخدمة (إذا أكملت الخطوة 1):

  1. انتقل إلى مجموعة الموارد الخاصة بك:

    • افتح مدخل Azure وانتقل إلى مجموعة الموارد التي تحتوي على مساحة عمل Log Analytics ومكان توزيع قواعد جمع البيانات (DCRs).

  2. تعيين دور ناشر مقاييس المراقبة:

    • في مجموعة الموارد، انقر فوق التحكم في الوصول (IAM) من القائمة اليسرى.
    • انقر فوق + إضافة وحدد إضافة تعيين دور.
    • في علامة التبويب Role، ابحث عن Monitoring Metrics Publisher وحدده.
    • انقر فوق التالي للانتقال إلى علامة التبويب الأعضاء.
    • ضمن تعيين الوصول إلى، حدد المستخدم أو المجموعة أو كيان الخدمة.
    • انقر فوق + Select members وابحث عن التطبيق المسجل حسب الاسم أو معرف العميل.
    • حدد التطبيق الخاص بك وانقر فوق تحديد.
    • انقر فوق مراجعة + تعيين مرتين لإكمال التعيين.

  3. تعيين دور قارئ المراقبة:

    • كرر نفس العملية لتعيين دور قارئ المراقبة :
    • انقر فوق + إضافة وحدد إضافة تعيين دور.
    • في علامة التبويب Role، ابحث عن Monitoring Reader وحدده.
    • اتبع نفس عملية تحديد العضو كما هو موضح أعلاه.
    • انقر فوق مراجعة + تعيين مرتين لإكمال التعيين. للهوية المدارة Azure:

  4. إنشاء هويتك المدارة أو تحديدها:

    • في حالة استخدام الهوية المدارة المعينة من قبل النظام: قم بتمكينها على مورد Azure (VM وApp Service وما إلى ذلك).
    • إذا كنت تستخدم الهوية المدارة المعينة من قبل المستخدم: قم بإنشاء واحدة في مجموعة الموارد الخاصة بك إذا لم تكن موجودة.

  5. تعيين دور ناشر مقاييس المراقبة:

    • اتبع الخطوات نفسها كما هو موضح أعلاه، ولكن في علامة التبويب الأعضاء :
    • ضمن تعيين الوصول إلى، حدد الهوية المدارة.
    • انقر فوق + Select members واختر نوع الهوية المدارة المناسب وحدد هويتك.
    • انقر فوق تحديد، ثم مراجعة + تعيين مرتين للإكمال.

  6. تعيين دور قارئ المراقبة:

    • كرر العملية لتعيين دور قارئ المراقبة لنفس الهوية المدارة. ملخص الإذن المطلوب: توفر الأدوار المعينة الإمكانات التالية:
  • مراقبة ناشر المقاييس: كتابة البيانات إلى نقاط نهاية تجميع البيانات (DCE) وإرسال بيانات تتبع الاستخدام من خلال قواعد جمع البيانات (DCR)
  • قارئ المراقبة: قراءة تكوين الدفق والوصول إلى مساحة عمل Log Analytics لاستيعاب جدول ASIM

توزيع البنية الأساسية Azure

انشر نقطة نهاية تجميع البيانات المطلوبة (DCE) وقواعد جمع البيانات (DCR) للجداول Microsoft Sentinel باستخدام قالب ARM الخاص بنا.

  1. التوزيع إلى Azure:

    • انقر فوق الزر Deploy to Azure أدناه لتوزيع البنية الأساسية المطلوبة تلقائيا:
    • portal.azure.com
    • سينقلك هذا مباشرة إلى مدخل Azure لبدء التوزيع.

  2. تكوين معلمات التوزيع:

    • في صفحة التوزيع المخصص، قم بتكوين الإعدادات التالية:

    تفاصيل المشروع:

    • الاشتراك: حدد اشتراكك Azure من القائمة المنسدلة
    • مجموعة الموارد: حدد مجموعة موارد موجودة أو انقر فوق إنشاء جديد لإنشاء تفاصيل مثيل واحدة جديدة:
    • المنطقة: حدد المنطقة Azure حيث توجد مساحة عمل Log Analytics (على سبيل المثال، غرب أوروبا)
    • مساحة العمل: أدخل اسم مساحة عمل Log Analytics
    • اسم DCE: أدخل اسما لنقطة نهاية تجميع البيانات (على سبيل المثال، "vmetric-dce")
    • بادئة اسم DCR: توفير بادئة لقواعد جمع البيانات (على سبيل المثال، "vmetric-dcr")

  3. أكمل النشر:

    • انقر فوق Review + create للتحقق من صحة القالب.
    • راجع المعلمات وانقر فوق Create لنشر الموارد.
    • انتظر حتى يكتمل التوزيع (يستغرق عادة 2-5 دقائق).

  4. تحقق من الموارد الموزعة:

    • بعد التوزيع، تحقق من إنشاء الموارد التالية:
  • نقطة نهاية تجميع البيانات (DCE): تحقق من نقاط نهاية تجميع البيانات مدخل Azure > Monitor >
  • قواعد جمع البيانات (DCRs): تحقق مدخل Azure > Monitor > Data Collection Rules
    • انسخ عنوان URI لاستيعاب سجلات DCE من صفحة نظرة عامة على DCE (التنسيق: https://<dce-name>.<region>.ingest.monitor.azure.com)
    • انسخ معرف مورد DCE من صفحة نظرة عامة على DCE (التنسيق: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • لكل DCR، لاحظ المعرف غير القابل للتغيير من صفحة نظرة عامة - ستحتاج إليها لتكوين VirtualMetric DataStream.

تكوين تكامل VirtualMetric DataStream

إعداد VirtualMetric DataStream لإرسال بيانات تتبع الاستخدام للأمان إلى جداول Microsoft Sentinel.

  1. الوصول إلى تكوين VirtualMetric DataStream:

    • سجل الدخول إلى وحدة تحكم إدارة VirtualMetric DataStream .
    • انتقل إلى قسم أهداف إدارة > الأسطول .
    • انقر فوق الزر إضافة هدف جديد .
    • حدد Microsoft Sentinel الهدف.

  2. تكوين الإعدادات العامة:

    • الاسم: أدخل اسما لهدفك (على سبيل المثال، "cus01-ms-sentinel")
    • الوصف: توفير وصف للتكوين الهدف اختياريا

  3. تكوين مصادقة Azure (اختر استنادا إلى الخطوة 1): للمصادقة الأساسية للخدمة:

    • الهوية المدارة Azure: الاحتفاظ بتعطيل
    • معرف المستأجر: أدخل معرف الدليل (المستأجر) من الخطوة 1
    • معرف العميل: أدخل معرف التطبيق (العميل) من الخطوة 1
    • سر العميل: أدخل قيمة سر العميل من الخطوة 1 للهوية المدارة Azure:
    • الهوية المدارة Azure: تعيين إلى ممكن

  4. تكوين خصائص Stream:

    • نقطة النهاية: اختر أسلوب التكوين الخاص بك:
  • لتكوين الدفق اليدوي: أدخل عنوان URI لاستيعاب سجلات DCE (التنسيق: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • للكشف عن الدفق التلقائي: أدخل معرف مورد DCE (التنسيق: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • التدفقات: حدد Auto للكشف التلقائي عن الدفق، أو قم بتكوين تدفقات معينة إذا لزم الأمر
  1. تحقق من استيعاب البيانات في Microsoft Sentinel:
    • العودة إلى مساحة عمل Log Analytics
    • قم بتشغيل نماذج الاستعلامات على جداول ASIM لتأكيد تلقي البيانات: 
      ASimNetworkSessionLogs
| where TimeGenerated > ago(1h)
| take 10
    • تحقق من لوحة معلومات نظرة عامة Microsoft Sentinel لمصادر البيانات الجديدة وعدد الأحداث.



VirtualMetric DataStream لمستودع بيانات Microsoft Sentinel

مدعوم من قبل:VirtualMetric

يوزع موصل VirtualMetric DataStream قواعد جمع البيانات لاستيعاب بيانات تتبع الاستخدام للأمان في مستودع بيانات Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommonSecurityLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • تسجيل التطبيق أو الهوية المدارة Azure: يتطلب VirtualMetric DataStream هوية معرف Entra لمصادقة السجلات وإرسالها إلى مستودع بيانات Microsoft Sentinel. يمكنك الاختيار بين إنشاء تسجيل تطبيق باستخدام معرف العميل وسر العميل، أو استخدام Azure Managed Identity لتحسين الأمان دون إدارة بيانات الاعتماد.
  • تعيين دور مجموعة الموارد: يجب تعيين الهوية المختارة (تسجيل التطبيق أو الهوية المدارة) إلى مجموعة الموارد التي تحتوي على نقطة نهاية تجميع البيانات مع الأدوار التالية: مراقبة ناشر المقاييس (لاستيعاب السجل) وقارئ المراقبة (لقراءة تكوين الدفق).

إرشادات الإعداد:

تكوين VirtualMetric DataStream Microsoft Sentinel مستودع البيانات

تكوين VirtualMetric DataStream Microsoft Sentinel مستودع البيانات لإرسال البيانات.

تسجيل التطبيق في Microsoft Entra ID (اختياري)

اختر أسلوب المصادقة: الخيار أ: استخدام الهوية المدارة Azure (مستحسن)

  • تخطي هذه الخطوة إذا كنت تخطط لاستخدام Azure Managed Identity للمصادقة.
  • Azure توفر الهوية المدارة طريقة مصادقة أكثر أمانا دون إدارة بيانات الاعتماد.

الخيار ب: تسجيل تطبيق كيان الخدمة

  1. افتح صفحة Microsoft Entra ID:

    • انقر فوق الارتباط المتوفر لفتح صفحة تسجيل Microsoft Entra ID في علامة تبويب جديدة.
    • تأكد من تسجيل الدخول باستخدام حساب لديه أذونات مسؤول التطبيق أو المسؤول العام .

  2. إنشاء تطبيق جديد:

    • في مدخل Microsoft Entra ID، حدد تسجيلات التطبيقات من شريط التنقل الأيسر.
    • انقر فوق + تسجيل جديد.
    • املأ الحقول التالية:
  • الاسم: أدخل اسما وصفيا للتطبيق (على سبيل المثال، "VirtualMetric ASIM Connector").
  • أنواع الحسابات المدعومة: اختر الحسابات في هذا الدليل التنظيمي فقط (مستأجر واحد).
  • إعادة توجيه URI: اترك هذا فارغا.
    • انقر فوق تسجيل لإنشاء التطبيق.

  1. نسخ معرفات التطبيق والمستأجر:

    • بمجرد تسجيل التطبيق، لاحظ معرف التطبيق (العميل) ومعرف الدليل (المستأجر) من صفحة نظرة عامة . ستحتاج إلى هذه لتكوين VirtualMetric DataStream.

  2. إنشاء سر العميل:

    • في قسم Certificates & secrets، انقر فوق + New client secret.
    • أضف وصفا (على سبيل المثال، "VirtualMetric ASIM Secret") وقم بتعيين فترة انتهاء صلاحية مناسبة.
    • انقر فوق إضافة.
    • انسخ قيمة سر العميل على الفور، حيث لن يتم عرضها مرة أخرى. قم بتخزين هذا بشكل آمن لتكوين VirtualMetric DataStream.

تعيين الأذونات المطلوبة

قم بتعيين الأدوار المطلوبة لأسلوب المصادقة الذي اخترته (كيان الخدمة أو الهوية المدارة) في مجموعة الموارد.

بالنسبة إلى كيان الخدمة (إذا أكملت الخطوة 1):

  1. انتقل إلى مجموعة الموارد الخاصة بك:

    • افتح مدخل Azure وانتقل إلى مجموعة الموارد التي تحتوي على مساحة عمل Log Analytics ومكان توزيع قواعد جمع البيانات (DCRs).

  2. تعيين دور ناشر مقاييس المراقبة:

    • في مجموعة الموارد، انقر فوق التحكم في الوصول (IAM) من القائمة اليسرى.
    • انقر فوق + إضافة وحدد إضافة تعيين دور.
    • في علامة التبويب Role، ابحث عن Monitoring Metrics Publisher وحدده.
    • انقر فوق التالي للانتقال إلى علامة التبويب الأعضاء.
    • ضمن تعيين الوصول إلى، حدد المستخدم أو المجموعة أو كيان الخدمة.
    • انقر فوق + Select members وابحث عن التطبيق المسجل حسب الاسم أو معرف العميل.
    • حدد التطبيق الخاص بك وانقر فوق تحديد.
    • انقر فوق مراجعة + تعيين مرتين لإكمال التعيين.

  3. تعيين دور قارئ المراقبة:

    • كرر نفس العملية لتعيين دور قارئ المراقبة :
    • انقر فوق + إضافة وحدد إضافة تعيين دور.
    • في علامة التبويب Role، ابحث عن Monitoring Reader وحدده.
    • اتبع نفس عملية تحديد العضو كما هو موضح أعلاه.
    • انقر فوق مراجعة + تعيين مرتين لإكمال التعيين. للهوية المدارة Azure:

  4. إنشاء هويتك المدارة أو تحديدها:

    • في حالة استخدام الهوية المدارة المعينة من قبل النظام: قم بتمكينها على مورد Azure (VM وApp Service وما إلى ذلك).
    • إذا كنت تستخدم الهوية المدارة المعينة من قبل المستخدم: قم بإنشاء واحدة في مجموعة الموارد الخاصة بك إذا لم تكن موجودة.

  5. تعيين دور ناشر مقاييس المراقبة:

    • اتبع الخطوات نفسها كما هو موضح أعلاه، ولكن في علامة التبويب الأعضاء :
    • ضمن تعيين الوصول إلى، حدد الهوية المدارة.
    • انقر فوق + Select members واختر نوع الهوية المدارة المناسب وحدد هويتك.
    • انقر فوق تحديد، ثم مراجعة + تعيين مرتين للإكمال.

  6. تعيين دور قارئ المراقبة:

    • كرر العملية لتعيين دور قارئ المراقبة لنفس الهوية المدارة. ملخص الإذن المطلوب: توفر الأدوار المعينة الإمكانات التالية:
  • مراقبة ناشر المقاييس: كتابة البيانات إلى نقاط نهاية تجميع البيانات (DCE) وإرسال بيانات تتبع الاستخدام من خلال قواعد جمع البيانات (DCR)
  • قارئ المراقبة: قراءة تكوين الدفق والوصول إلى مساحة عمل Log Analytics لاستيعاب جدول ASIM

توزيع البنية الأساسية Azure

انشر نقطة نهاية تجميع البيانات المطلوبة (DCE) وقواعد جمع البيانات (DCR) Microsoft Sentinel جداول مستودع البيانات باستخدام قالب ARM الخاص بنا.

  1. التوزيع إلى Azure:

    • انقر فوق الزر Deploy to Azure أدناه لتوزيع البنية الأساسية المطلوبة تلقائيا:
    • portal.azure.com
    • سينقلك هذا مباشرة إلى مدخل Azure لبدء التوزيع.

  2. تكوين معلمات التوزيع:

    • في صفحة التوزيع المخصص، قم بتكوين الإعدادات التالية:

    تفاصيل المشروع:

    • الاشتراك: حدد اشتراكك Azure من القائمة المنسدلة
    • مجموعة الموارد: حدد مجموعة موارد موجودة أو انقر فوق إنشاء جديد لإنشاء تفاصيل مثيل واحدة جديدة:
    • المنطقة: حدد المنطقة Azure حيث توجد مساحة عمل Log Analytics (على سبيل المثال، غرب أوروبا)
    • مساحة العمل: أدخل اسم مساحة عمل Log Analytics
    • اسم DCE: أدخل اسما لنقطة نهاية تجميع البيانات (على سبيل المثال، "vmetric-dce")
    • بادئة اسم DCR: توفير بادئة لقواعد جمع البيانات (على سبيل المثال، "vmetric-dcr")

  3. أكمل النشر:

    • انقر فوق Review + create للتحقق من صحة القالب.
    • راجع المعلمات وانقر فوق Create لنشر الموارد.
    • انتظر حتى يكتمل التوزيع (يستغرق عادة 2-5 دقائق).

  4. تحقق من الموارد الموزعة:

    • بعد التوزيع، تحقق من إنشاء الموارد التالية:
  • نقطة نهاية تجميع البيانات (DCE): تحقق من نقاط نهاية تجميع البيانات مدخل Azure > Monitor >
  • قواعد جمع البيانات (DCRs): تحقق مدخل Azure > Monitor > Data Collection Rules
    • انسخ عنوان URI لاستيعاب سجلات DCE من صفحة نظرة عامة على DCE (التنسيق: https://<dce-name>.<region>.ingest.monitor.azure.com)
    • انسخ معرف مورد DCE من صفحة نظرة عامة على DCE (التنسيق: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • لكل DCR، لاحظ المعرف غير القابل للتغيير من صفحة نظرة عامة - ستحتاج إليها لتكوين VirtualMetric DataStream.

تكوين تكامل VirtualMetric DataStream

إعداد VirtualMetric DataStream لإرسال بيانات تتبع الاستخدام للأمان إلى Microsoft Sentinel جداول مستودع البيانات.

  1. الوصول إلى تكوين VirtualMetric DataStream:

    • سجل الدخول إلى وحدة تحكم إدارة VirtualMetric DataStream .
    • انتقل إلى قسم أهداف إدارة > الأسطول .
    • انقر فوق الزر إضافة هدف جديد .
    • حدد Microsoft Sentinel الهدف.

  2. تكوين الإعدادات العامة:

    • الاسم: أدخل اسما لهدفك (على سبيل المثال، "cus01-ms-sentinel")
    • الوصف: توفير وصف للتكوين الهدف اختياريا

  3. تكوين مصادقة Azure (اختر استنادا إلى الخطوة 1): للمصادقة الأساسية للخدمة:

    • الهوية المدارة Azure: الاحتفاظ بتعطيل
    • معرف المستأجر: أدخل معرف الدليل (المستأجر) من الخطوة 1
    • معرف العميل: أدخل معرف التطبيق (العميل) من الخطوة 1
    • سر العميل: أدخل قيمة سر العميل من الخطوة 1 للهوية المدارة Azure:
    • الهوية المدارة Azure: تعيين إلى ممكن

  4. تكوين خصائص Stream:

    • نقطة النهاية: اختر أسلوب التكوين الخاص بك:
  • لتكوين الدفق اليدوي: أدخل عنوان URI لاستيعاب سجلات DCE (التنسيق: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • للكشف عن الدفق التلقائي: أدخل معرف مورد DCE (التنسيق: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • التدفقات: حدد Auto للكشف التلقائي عن الدفق، أو قم بتكوين تدفقات معينة إذا لزم الأمر
  1. تحقق من استيعاب البيانات في مستودع بيانات Microsoft Sentinel:
    • العودة إلى مساحة عمل Log Analytics
    • قم بتشغيل نماذج الاستعلامات على جداول ASIM لتأكيد تلقي البيانات: 
      ASimNetworkSessionLogs
| where TimeGenerated > ago(1h)
| take 10
    • تحقق من لوحة معلومات نظرة عامة Microsoft Sentinel لمصادر البيانات الجديدة وعدد الأحداث.



وكيل VirtualMetric Director

مدعوم من قبل:VirtualMetric

يقوم وكيل VirtualMetric Director بتوزيع تطبيق وظيفة Azure لوصل VirtualMetric DataStream بأمان بخدمات Azure بما في ذلك Microsoft Sentinel ومستكشف بيانات Azure وتخزين Azure.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommonSecurityLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Function App: يجب نشر Azure Function App لاستضافة وكيل المدير. يتطلب أذونات القراءة والكتابة والحذف على موارد Microsoft.Web/sites ضمن مجموعة الموارد الخاصة بك لإنشاء Function App وإدارته.
  • تكوين VirtualMetric DataStream: تحتاج إلى تكوين VirtualMetric DataStream باستخدام بيانات اعتماد المصادقة للاتصال بوكيل المدير. يعمل وكيل المدير كجسر آمن بين VirtualMetric DataStream وخدمات Azure.
  • خدمات Azure الهدف: قم بتكوين خدمات Azure الهدف مثل نقاط نهاية تجميع البيانات Microsoft Sentinel أو مجموعات Azure Data Explorer ‏(Kusto) أو حسابات التخزين Azure حيث سيقوم وكيل المدير بإعادة توجيه البيانات.

إرشادات الإعداد:

توزيع وكيل VirtualMetric Director

انشر Azure Function App الذي يعمل كوكيل آمن بين VirtualMetric DataStream Microsoft Sentinel.

المتطلبات الأساسية وترتيب التوزيع

ترتيب النشر الموصى به:

للتكوين الأمثل، ضع في اعتبارك نشر الموصلات الهدف أولا:

  1. توزيع موصل Microsoft Sentinel: انشر VirtualMetric DataStream لموصل Microsoft Sentinel أولا لإنشاء نقاط النهاية والقواعد المطلوبة لجمع البيانات.

  2. توزيع Microsoft Sentinel data lake Connector (اختياري): إذا كنت تستخدم جداول مستودع بيانات Microsoft Sentinel، فوزع VirtualMetric DataStream لموصل مستودع البيانات Microsoft Sentinel.

  3. توزيع وكيل المدير (هذه الخطوة): يمكن بعد ذلك تكوين وكيل المدير مع أهداف Microsoft Sentinel. ملاحظه: يوصى بهذا الطلب ولكنه غير مطلوب. يمكنك نشر وكيل المدير بشكل مستقل وتكوينه مع أهدافك لاحقا.

توزيع Azure Function App

انشر VirtualMetric Director Proxy Azure Function App باستخدام الزر Deploy to Azure.

  1. التوزيع إلى Azure:

    • انقر فوق الزر Deploy to Azure أدناه لنشر Function App:
    • portal.azure.com

  2. تكوين معلمات التوزيع:

    • الاشتراك: حدد اشتراكك في Azure
    • مجموعة الموارد: اختر نفس مجموعة الموارد مثل مساحة عمل Microsoft Sentinel أو أنشئ مجموعة جديدة
    • المنطقة: حدد منطقة Azure (يجب أن تتطابق مع منطقة مساحة العمل Microsoft Sentinel)
    • Function App Name: أدخل اسما فريدا لتطبيق الوظائف (على سبيل المثال، "vmetric-director-proxy")

  3. النشر الكامل:

    • انقر فوق Review + create للتحقق من صحة المعلمات
    • انقر فوق إنشاء لنشر تطبيق الوظائف
    • انتظر حتى يكتمل التوزيع (عادة 3-5 دقائق)
    • لاحظ عنوان URL لتطبيق الوظائف: https://<function-app-name>.azurewebsites.net

تكوين أذونات تطبيق الوظائف

قم بتعيين الأذونات الضرورية للهوية المدارة لتطبيق الوظائف للوصول إلى موارد Microsoft Sentinel.

  1. تمكين الهوية المدارة System-Assigned:

    • انتقل إلى تطبيق الوظائف المنشور في مدخل Azure
    • انتقل إلى الهوية ضمن الإعدادات
    • تبديل الحالة إلى تشغيل للهوية المعينة من قبل النظام
    • انقر فوق حفظ وتأكيد

  2. انتقل إلى مجموعة الموارد:

    • انتقل إلى مجموعة الموارد التي تحتوي على مساحة عمل Microsoft Sentinel ونقاط نهاية تجميع البيانات

  3. تعيين الأدوار المطلوبة:

    • فتح التحكم في الوصول (IAM)
    • انقر فوق + إضافة > إضافة تعيين دور
    • تعيين الأدوار التالية إلى الهوية المدارة المعينة من قبل النظام لتطبيق الوظائف:
  • مراقبة ناشر المقاييس: لإرسال البيانات إلى نقاط نهاية تجميع البيانات
  • قارئ المراقبة: لقراءة تكوين قواعد جمع البيانات

  1. حدد Function App Identity:

    • في علامة التبويب الأعضاء، حدد الهوية المدارة
    • اختر Function App وحدد تطبيق وظيفة وكيل المدير المنشور
    • إكمال تعيين الدور

  2. الحصول على الرمز المميز للوصول إلى تطبيق الوظائف (اختياري لمصادقة مفتاح الوظيفة):

    • انتقل إلى تطبيق الوظائف
    • انتقل إلى مفاتيح التطبيقات ضمن الوظائف
    • نسخ مفتاح المضيف الافتراضي أو إنشاء مفتاح دالة جديد للمصادقة

تكوين تكامل VirtualMetric DataStream

قم بإعداد VirtualMetric DataStream لإرسال بيانات تتبع الاستخدام للأمان إلى Microsoft Sentinel من خلال وكيل المدير.

  1. الوصول إلى تكوين VirtualMetric DataStream:

    • تسجيل الدخول إلى وحدة تحكم إدارة VirtualMetric DataStream
    • انتقل إلى قسم Targets
    • انقر فوق Microsoft Sentinel Targets
    • انقر فوق إضافة هدف جديد أو تحرير هدف Microsoft Sentinel موجود

  2. تكوين الإعدادات العامة:

    • الاسم: أدخل اسما لهدفك (على سبيل المثال، "sentinel-with-proxy")
    • الوصف: توفير وصف للتكوين الهدف اختياريا

  3. تكوين مصادقة Azure: للمصادقة الأساسية للخدمة:

    • الهوية المدارة Azure: الاحتفاظ بتعطيل
    • معرف المستأجر: أدخل معرف مستأجر Azure Active Directory
    • معرف العميل: أدخل معرف التطبيق الأساسي للخدمة
    • سر العميل: أدخل سر العميل الأساسي للخدمة Azure الهوية المدارة:
    • الهوية المدارة Azure: تعيين إلى ممكن

  4. تكوين وكيل المدير (في علامة التبويب خصائص Azure):

    • عنوان نقطة النهاية: أدخل عنوان URL لتطبيق الوظائف من الخطوة 2 (التنسيق: https://<function-app-name>.azurewebsites.net)
    • الرمز المميز للوصول: أدخل مفتاح مضيف تطبيق الوظائف من الخطوة 3 (اختياري إذا كنت تستخدم الهوية المدارة)

  5. تكوين خصائص Stream:

    • نقطة النهاية: أدخل عنوان URI لاستيعاب سجلات DCE (التنسيق: https://<dce-name>.<region>.ingest.monitor.azure.com)
    • التدفقات: حدد Auto للكشف التلقائي عن الدفق، أو قم بتكوين تدفقات معينة إذا لزم الأمر

  6. تحقق من استيعاب البيانات في Microsoft Sentinel:

    • العودة إلى مساحة عمل Log Analytics
    • قم بتشغيل نماذج الاستعلامات للتأكد من تلقي البيانات: 
      CommonSecurityLog
| where TimeGenerated > ago(1h)
| take 10
    • تحقق من لوحة معلومات نظرة عامة Microsoft Sentinel لمصادر البيانات الجديدة وعدد الأحداث



VMRayThreatIntelligence (باستخدام وظائف Azure)

مدعوم من قبل:VMRay

يقوم موصل VMRayThreatIntelligence تلقائيا بإنشاء وتغذية التحليل الذكي للمخاطر لجميع عمليات الإرسال إلى VMRay، ما يحسن الكشف عن التهديدات والاستجابة للحوادث في Sentinel. هذا التكامل السلس يمكن الفرق من معالجة التهديدات الناشئة بشكل استباقي.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ThreatIntelligenceIndicator نعم لا

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure Subscription: مطلوب اشتراك Azure مع دور المالك لتسجيل تطبيق في azure active Directory() وتعيين دور المساهم للتطبيق في مجموعة الموارد.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مفتاح واجهة برمجة تطبيقات VMRay مطلوب.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات VMRay لسحب VMRay Threat IOCs إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات وتخزين البيانات في تكاليف تخزين Azure Blob. تحقق من صفحة تسعير دالات Azureوصفحة تسعير blob Storage Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

توزيع موصل التحليل الذكي للمخاطر VMRay

  1. تأكد من أن لديك جميع المتطلبات الأساسية المطلوبة: معرف العميل ومعرف المستأجر وسر العميل ومفتاح واجهة برمجة تطبيقات VMRay وعنوان URL الأساسي ل VMRay.

  2. للحصول على معرف العميل وسر العميل ومعرف المستأجر، اتبع هذه الإرشادات

  3. بالنسبة إلى خطة استهلاك Flex، انقر فوق الزر Deploy to Azure أدناه:

    aka.ms

  4. بالنسبة إلى خطة Premium، انقر فوق الزر Deploy to Azure أدناه:

    aka.ms.



VMware Carbon Black Cloud عبر AWS S3 (عبر Codeless Connector Framework)

مدعوم من قبل:Microsoft

يوفر VMware Carbon Black Cloud عبر موصل بيانات AWS S3 القدرة على استيعاب أحداث قائمة المشاهدة والتنبيهات والمصادقة ونقاط النهاية عبر AWS S3 ودفقها إلى جداول ASIM التي تمت تسويتها. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CarbonBlack_Alerts_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • البيئة: يجب أن يكون لديك موارد AWS التالية محددة ومكونة: S3، وخدمة قائمة الانتظار البسيطة (SQS)، وأدوار IAM ونهج الأذونات
  • البيئة: يجب أن يكون لديك حساب الكربون الأسود والأذونات المطلوبة لإنشاء بيانات معاد توجيهها إلى مستودعات AWS S3. لمزيد من المعلومات، راجع Carbon Black Data Forwarder Docs

إرشادات الإعداد:

  1. نشر AWS CloudFormation لتكوين الوصول على AWS، تم إنشاء قالبين لإعداد بيئة AWS لإرسال سجلات من مستودع S3 إلى مساحة عمل Log Analytics.

لكل قالب، قم بإنشاء Stack في AWS:

  1. انتقل إلى مكدسات AWS CloudFormation
  2. في AWS، اختر الخيار "تحميل ملف قالب" وانقر فوق "اختيار ملف". حدد القالب الذي تم تنزيله
  3. انقر فوق "التالي" و"إنشاء مكدس الذاكرة المؤقتة"
  • القالب 1: توزيع مصادقة اتصال OpenID: <قيمة متغيرة متوفرة في وقت التثبيت>
  • القالب 2: توزيع موارد AWS Carbon Black: <قيمة متغيرة تم توفيرها في وقت> التثبيت عند نشر قالب "القالب 2: توزيع موارد AWS Carbon Black" ستحتاج إلى توفير بعض المعلمات
  • اسم المكدس: اسم مكدس من اختيارك (سيظهر في قائمة المكدسات في AWS)
  • اسم الدور: يجب أن يبدأ ببادئة "OIDC_"، وأن يكون له قيمة افتراضية.
  • اسم المستودع: اسم المستودع الذي تختاره، إذا كان لديك بالفعل مستودع موجود، فلصق الاسم هنا
  • CreateNewBucket: إذا كان لديك بالفعل مستودع موجود ترغب في استخدامه لهذا الموصل، فحدد "false" لهذا الخيار، وإلا فسيتم إنشاء مستودع بالاسم الذي أدخلته في "اسم المستودع" من هذا المكدس.
  • المنطقة: هذه هي منطقة موارد AWS استنادا إلى تعيين Carbon Black - لمزيد من المعلومات، يرجى الاطلاع على وثائق Carbon Black.
  • SQSQueuePrefix: ينشئ المكدس قوائم انتظار متعددة، ستتم إضافة هذه البادئة إلى كل واحدة منها.
  • WorkspaceID: استخدم معرف مساحة العمل المتوفر أدناه.
  • معرف مساحة العمل: <قيمة متغيرة يتم توفيرها في وقت> التثبيت بمجرد اكتمال التوزيع - توجه إلى علامة التبويب "Outputs"، سترى: Role ARN، ومستودع S3، و4 موارد SQS تم إنشاؤها. ستحتاج إلى هذه الموارد في الخطوة التالية عند تكوين معاد توجيه بيانات Carbon Black وموصل البيانات.

  1. تكوين معيد توجيه بيانات Carbon Black بعد إنشاء جميع موارد AWS، ستحتاج إلى تكوين Carbon Black لإعادة توجيه الأحداث إلى مستودعات AWS Microsoft Sentinel لاستيعابها. اتبع وثائق Carbon Black حول كيفية إنشاء "معاد توجيه البيانات" استخدم الخيار الأول الموصى به. عند مطالبتك بإدخال اسم مستودع، استخدم المستودع الذي تم إنشاؤه في الخطوة السابقة. سيطلب منك إضافة "بادئة S3" لكل معاد توجيه، يرجى استخدام هذا التعيين:

    نوع الحدث بادئة S3
    تنبيه carbon-black-cloud-forwarder/Alerts
    أحداث المصادقة carbon-black-cloud-forwarder/Auth
    أحداث نقطة النهاية carbon-black-cloud-forwarder/Endpoint
    قائمة المشاهدة Hit carbon-black-cloud-forwarder/Watchlist

2.1. اختبر معاد توجيه البيانات (اختياري) للتحقق من تكوين معاد توجيه البيانات كما هو متوقع، في مدخل Carbon Black ابحث عن معاد توجيه البيانات الذي قمت بإنشائه للتو وانقر فوق الزر "Test Forwarder" ضمن العمود "Actions"، سيؤدي ذلك إلى إنشاء ملف "HealthCheck" في مستودع S3، يجب أن تراه يظهر على الفور.

  1. قم بتوصيل مجمعات جديدة لتمكين AWS S3 Microsoft Sentinel، انقر فوق الزر "إضافة مجمع جديد"، واملأ المعلومات المطلوبة، وتم إنشاء دور ARN وعنوان URL SQS في الخطوة 1، ولاحظ أنك ستحتاج إلى إدخال عنوان URL الصحيح ل SQS وتحديد نوع الحدث المناسب من القائمة المنسدلة، على سبيل المثال إذا كنت تريد استيعاب أحداث التنبيه، فستحتاج إلى نسخ عنوان URL SQS للتنبيهات وتحديد نوع حدث "التنبيهات" في القائمة المنسدلة
  • شبكة موصلات البيانات (تكوين في المدخل)



أحداث Windows DNS عبر AMA

مدعوم من قبل:Microsoft Corporation

يسمح لك موصل سجل Windows DNS بتصفية جميع سجلات التحليلات ودفقها بسهولة من خوادم Windows DNS إلى مساحة عمل Microsoft Sentinel باستخدام عامل مراقبة Azure (AMA). يساعدك وجود هذه البيانات في Microsoft Sentinel على تحديد المشكلات والتهديدات الأمنية مثل:

  • محاولة حل أسماء المجالات الضارة.
  • سجلات الموارد القديمة.
  • أسماء المجالات التي يتم الاستعلام عنها بشكل متكرر وعملاء DNS الثرثارين.
  • الهجمات التي يتم تنفيذها على خادم DNS.

يمكنك الحصول على الرؤى التالية حول خوادم Windows DNS من Microsoft Sentinel:

  • جميع السجلات مركزية في مكان واحد.
  • طلب التحميل على خوادم DNS.
  • فشل تسجيل DNS الديناميكي.

يتم دعم أحداث Windows DNS بواسطة نموذج معلومات SIEM المتقدم (ASIM) ودفق البيانات إلى جدول ASimDnsActivityLogs. تعرّف على المزيد.

لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ASimDnsActivityLogs نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

جدار حماية Windows

مدعوم من قبل:Microsoft Corporation

جدار حماية Windows هو تطبيق Microsoft Windows يقوم بتصفية المعلومات الواردة إلى نظامك من الإنترنت وحظر البرامج التي يحتمل أن تكون ضارة. يمنع البرنامج معظم البرامج من الاتصال عبر جدار الحماية. يقوم المستخدمون ببساطة بإضافة برنامج إلى قائمة البرامج المسموح بها للسماح له بالاتصال من خلال جدار الحماية. عند استخدام شبكة عامة، يمكن لجدار حماية Windows أيضا تأمين النظام عن طريق حظر جميع المحاولات غير المرغوب فيها للاتصال بالكمبيوتر. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط

دعم قاعدة جمع البيانات: غير مدعوم حاليا

أحداث جدار حماية Windows عبر AMA

مدعوم من قبل:Microsoft Corporation

جدار حماية Windows هو تطبيق Microsoft Windows يقوم بتصفية المعلومات الواردة إلى نظامك من الإنترنت وحظر البرامج التي يحتمل أن تكون ضارة. يمنع برنامج جدار الحماية معظم البرامج من الاتصال عبر جدار الحماية. لدفق سجلات تطبيق جدار حماية Windows التي تم جمعها من أجهزتك، استخدم عامل Azure Monitor (AMA) لدفق هذه السجلات إلى مساحة عمل Microsoft Sentinel.

يلزم ربط نقطة نهاية تجميع البيانات المكونة (DCE) بقاعدة جمع البيانات (DCR) التي تم إنشاؤها ل AMA لجمع السجلات. بالنسبة لهذا الموصل، يتم إنشاء DCE تلقائيا في نفس منطقة مساحة العمل. إذا كنت تستخدم بالفعل DCE مخزنا في نفس المنطقة، فمن الممكن تغيير DCE الافتراضي الذي تم إنشاؤه واستخدام DCE الموجود لديك من خلال واجهة برمجة التطبيقات. يمكن أن تكون DCEs موجودة في مواردك باستخدام بادئة SentinelDCE في اسم المورد.

لمزيد من المعلومات، راجع المقالات التالية:

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط

دعم قاعدة جمع البيانات: غير مدعوم حاليا

أحداث Windows التي تمت إعادة توجيهها

مدعوم من قبل:Microsoft Corporation

يمكنك دفق جميع سجلات إعادة توجيه أحداث Windows (WEF) من خوادم Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام Azure Monitor Agent (AMA). يمكنك هذا الاتصال من عرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. يمنحك هذا المزيد من التفاصيل حول شبكة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
WindowsEvent نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

أمن Windows الأحداث عبر AMA

مدعوم من قبل:Microsoft Corporation

يمكنك دفق جميع أحداث الأمان من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكنك هذا الاتصال من عرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. يمنحك هذا المزيد من التفاصيل حول شبكة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityEvent نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

WithSecure Elements API (وظيفة Azure)

مدعوم من قبل:WithSecure

يعد WithSecure Elements النظام الأساسي الموحد للأمن السيبراني المستند إلى السحابة المصمم لتقليل المخاطر والتعقيد وعدم الكفاءة.

رفع مستوى الأمان من نقاط النهاية إلى تطبيقات السحابة الخاصة بك. تسليح نفسك ضد كل نوع من أنواع التهديدات الإلكترونية، من الهجمات المستهدفة إلى برامج الفدية الضارة في اليوم الصفري.

يجمع WithSecure Elements بين قدرات أمان تنبؤية ووقائية واستجابية قوية - تتم إدارتها ومراقبتها من خلال مركز أمان واحد. تمنحك بنيتنا المعيارية ونماذج التسعير المرنة حرية التطور. من خلال خبرتنا وبصيرتنا، سيتم تمكينك دائما - ولن تكون وحيدا أبدا.

مع تكامل Microsoft Sentinel، يمكنك ربط بيانات أحداث الأمان من حل WithSecure Elements بالبيانات من مصادر أخرى، ما يتيح نظرة عامة غنية على بيئتك بأكملها ورد فعل أسرع على التهديدات.

باستخدام هذا الحل، يتم نشر Azure Function إلى المستأجر الخاص بك، ويتم التحقق بشكل دوري من أحداث أمان WithSecure Elements.

لمزيد من المعلومات، تفضل بزيارة موقعنا على: https://www.withsecure.com.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
WsSecurityEvents_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • مع بيانات اعتماد عميل واجهة برمجة تطبيقات عناصر SSecure: بيانات اعتماد العميل مطلوبة. راجع الوثائق لمعرفة المزيد.

إرشادات الإعداد:

1. إنشاء بيانات اعتماد واجهة برمجة تطبيقات عناصر WithSecure

اتبع دليل المستخدم لإنشاء بيانات اعتماد واجهة برمجة تطبيقات العناصر. احفظ بيانات الاعتماد في مكان آمن.

2. إنشاء تطبيق Microsoft Entra

إنشاء تطبيق Microsoft Entra جديد وبيانات الاعتماد. اتبع الإرشادات وقم بتخزين قيم معرف الدليل (المستأجر) ومعرف الكائن ومعرف التطبيق (العميل) وسر العميل (من حقل بيانات اعتماد العميل). تذكر تخزين سر العميل في مكان آمن.

3. توزيع تطبيق الوظائف

ملاحظه: يستخدم هذا الموصل دالات Azure لسحب السجلات من WithSecure Elements. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين بيانات اعتماد العميل Microsoft Entra وبيانات اعتماد عميل WithSecure Elements API بأمان في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الهامه: قبل نشر موصل WithSecure Elements، يكون لديك اسم مساحة العمل (يمكن نسخه من التالي)، والبيانات من معرف Microsoft Entra (الدليل (المستأجر)، ومعرف العنصر، ومعرف التطبيق (العميل) وسر العميل)، بالإضافة إلى بيانات اعتماد عميل WithSecure Elements، المتوفرة بسهولة.

  • اسم مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

توزيع جميع الموارد المتعلقة بالموصل

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل، Entra معرف العميل، Entra سر العميل، Entra معرف المستأجر، معرف عميل واجهة برمجة تطبيقات العناصر، سر عميل واجهة برمجة تطبيقات العناصر.

ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل. 4. يمكنك أيضا تعبئة الحقول الاختيارية: عنوان URL لواجهة برمجة تطبيقات العناصر، المحرك، مجموعة المحرك. استخدم القيمة الافتراضية لعن عنوان URL ل Elements API ما لم يكن لديك بعض الحالات الخاصة. تعيين المحرك ومجموعة المحركات إلى معلمات طلب أحداث الأمان، املأ هذه المعلمات إذا كنت مهتما فقط بالأحداث من محرك أو مجموعة محرك معينة، في حالة كنت تريد تلقي جميع أحداث الأمان اترك الحقول بقيم افتراضية. 5. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 6. انقر فوق شراء للنشر.



Wiz (باستخدام وظائف Azure)

مدعوم من قبل:Wiz

يسمح لك موصل Wiz بإرسال مشكلات Wiz ونتائج الثغرات الأمنية وسجلات التدقيق بسهولة إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) لا لا
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) لا لا
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد حساب خدمة Wiz: تأكد من أن لديك معرف عميل حساب خدمة Wiz وسر العميل وعنوان URL لنقطة نهاية واجهة برمجة التطبيقات وعنوان URL للمصادقة. يمكن العثور على الإرشادات في وثائق Wiz.

إرشادات الإعداد:

ملاحظه: هذا الموصل: يستخدم دالات Azure للاتصال بواجهة برمجة تطبيقات Wiz لسحب مشكلات Wiz ونتائج الثغرات الأمنية وسجلات التدقيق إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل. إنشاء Azure Key Vault مع جميع المعلمات المطلوبة المخزنة كأسرار.

الخطوة 1 - الحصول على بيانات اعتماد Wiz

اتبع الإرشادات الواردة في وثائق Wiz للحصول على بيانات الاعتماد المطلوبة.

الخطوة 2 - نشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر Wiz Connector، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى بيانات اعتماد Wiz من الخطوة السابقة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1: التوزيع باستخدام قالب Azure Resource Manager (ARM)

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل المعلمات التالية:

  • اختر KeyVaultName و FunctionName للموارد الجديدة

  • أدخل بيانات اعتماد Wiz التالية من الخطوة 1: WizAuthUrl وWizEndpointUrl وWizClientId وWizClientSecret

  • أدخل بيانات اعتماد مساحة العمل AzureLogsAnalyticsWorkspaceId وAzureLogAnalyticsWorkspaceSharedKey

  • اختر أنواع بيانات Wiz التي تريد إرسالها إلى Microsoft Sentinel، واختر واحدا على الأقل من مشكلات Wiz ونتائج الثغرات الأمنية وسجلات التدقيق.

  • (اختياري) اتبع وثائق Wiz لإضافة IssuesQueryFilter وVulnerbailitiesQueryFilter و AuditLogsQueryFilter.

  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
  2. انقر فوق شراء للنشر.

الخيار 2: النشر اليدوي للدالة Azure

اتبع وثائق Wiz لنشر الموصل يدويا.



نشاط مستخدم Workday

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Workday User Activity القدرة على استيعاب سجلات نشاط المستخدم من واجهة برمجة تطبيقات Workday إلى Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ASimAuditEventLogs نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الوصول إلى واجهة برمجة تطبيقات نشاط مستخدم Workday: مطلوب الوصول إلى واجهة برمجة تطبيقات نشاط مستخدم Workday من خلال Oauth. يحتاج عميل واجهة برمجة التطبيقات إلى النطاق: النظام ويجب أن يتم تخويله من قبل حساب لديه أذونات تدقيق النظام.

إرشادات الإعداد:

اتصل ب Workday لبدء جمع سجلات نشاط المستخدم في Microsoft Sentinel

  1. في Workday، قم بالوصول إلى مهمة "تحرير إعداد المستأجر - الأمان"، وتحقق من قسم "إعدادات OAuth 2.0"، وتأكد من وضع علامة على خانة الاختيار "تمكين عملاء OAuth 2.0".
  2. في Workday، قم بالوصول إلى مهمة "تحرير إعداد المستأجر - النظام"، وتحقق من قسم "تسجيل نشاط المستخدم"، وتأكد من وضع علامة على خانة الاختيار "تمكين تسجيل نشاط المستخدم".
  3. في Workday، قم بالوصول إلى مهمة "تسجيل عميل واجهة برمجة التطبيقات".
  4. حدد اسم العميل، وحدد "نوع منحة العميل": "منح رمز التخويل" ثم حدد "نوع الرمز المميز للوصول": "Bearer"
  5. أدخل "Redirection URI" الموجود في النموذج أدناه
  6. في القسم "Scope (Functional Areas)"، حدد "System" وانقر فوق OK في الأسفل
  7. انسخ معرف العميل وسر العميل قبل التنقل بعيدا عن الصفحة، وقم بتخزينه بأمان.
  8. في Sentinel، في صفحة الموصل - قم بتوفير نقاط النهاية المطلوبة للرمز المميز والتخويل وسجلات نشاط المستخدم، جنبا إلى جنب مع معرف العميل وسر العميل من الخطوة السابقة. ثم انقر فوق "الاتصال".
  9. ستظهر نافذة منبثقة في Workday لإكمال مصادقة OAuth2 وتخويل عميل واجهة برمجة التطبيقات. هنا تحتاج إلى توفير بيانات اعتماد لحساب Workday مع أذونات "تدقيق النظام" في Workday (يمكن أن يكون إما حساب Workday أو مستخدم نظام التكامل).
  10. بمجرد اكتمال ذلك، سيتم عرض الرسالة لتخويل عميل واجهة برمجة التطبيقات



مكان العمل من Facebook (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Workplace القدرة على استيعاب أحداث Workplace الشائعة في Microsoft Sentinel من خلال Webhooks. تمكن خطافات الويب تطبيقات التكامل المخصصة من الاشتراك في الأحداث في Workplace وتلقي التحديثات في الوقت الفعلي. عند حدوث تغيير في Workplace، يتم إرسال طلب HTTPS POST مع معلومات الحدث إلى عنوان URL لموصل بيانات رد الاتصال. راجع وثائق Webhooks لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Workplace_Facebook_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات خطافات الويب: WorkplaceAppSecret، WorkplaceVerifyToken، عنوان URL لرد الاتصال مطلوب لخطافات الويب العاملة. راجع الوثائق لمعرفة المزيد حول تكوين Webhooks وتكوين الأذونات.

إرشادات الإعداد:

ملاحظه: يستخدم موصل البيانات هذا وظائف Azure استنادا إلى مشغل HTTP لانتظار طلبات POST مع سجلات لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع تطبيق وظائف Azure.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار WorkplaceFacebook وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا في السطر الثاني من الاستعلام، وأدخل اسم المضيف (أسماء) جهاز (أجهزة) Workplace Facebook وأي معرفات فريدة أخرى ل logstream. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.

الخطوة 1 - خطوات التكوين ل Workplace

اتبع الإرشادات لتكوين خطافات الويب.

  1. سجل الدخول إلى Workplace باستخدام بيانات اعتماد المستخدم مسؤول.
  2. في لوحة مسؤول، انقر فوق عمليات التكامل.
  3. في طريقة عرض جميع عمليات التكامل، انقر فوق إنشاء تكامل مخصص
  4. أدخل الاسم والوصف وانقر فوق إنشاء.
  5. في لوحة تفاصيل التكامل، اعرض سر التطبيق وانسخه.
  6. في جزء Integration permissions ، قم بتعيين جميع أذونات القراءة. راجع صفحة الأذونات للحصول على التفاصيل.
  7. انتقل الآن إلى الخطوة 2 لاتباع الخطوات (المدرجة في الخيار 1 أو 2) لنشر وظيفة Azure.
  8. أدخل المعلمات المطلوبة وأدخل أيضا رمزا مميزا من اختيارك. انسخ هذا الرمز المميز / لاحظه للخطوة القادمة.
  9. بعد اكتمال نشر دالات Azure بنجاح، افتح صفحة Function App، وحدد تطبيقك، وانتقل إلى Functions، وانقر فوق Get Function URL وانسخ هذا / لاحظه للخطوة القادمة.
  10. ارجع إلى Workplace من Facebook. في لوحة Configure webhooks في كل علامة تبويب، قم بتعيين عنوان URL لرد الاتصال كنفس القيمة التي نسختها في النقطة 9 أعلاه وتحقق من الرمز المميز بنفس القيمة التي نسختها في النقطة 8 أعلاه والتي تم الحصول عليها أثناء الخطوة 2 من نشر دالات Azure.
  11. انقر فوق حفظ.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ووظائف Azure المقترنة

الهامه: قبل نشر موصل بيانات Workplace، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Workplace باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل WorkplaceVerifyToken (يمكن أن يكون أي تعبير، ونسخه وحفظه للخطوة 1)، WorkplaceAppSecret ونشره . 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر. 6. بعد نشر صفحة تطبيق الوظائف المفتوحة، حدد تطبيقك، وانتقل إلى Functions وانقر فوق Get Function Url انسخه واتبع p.7 من الخطوة 1.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Sophos Endpoint Protection يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب Application settings، حدد New application setting.
  3. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



XBOW Security Platform (عبر وظيفة Azure)

مدعوم من قبل:XBOW

يدمج موصل بيانات XBOW لقطات الأصول ونتائج الثغرات الأمنية ونشاط التقييم من XBOW Security Platform إلى Microsoft Sentinel. تقوم وظيفة Azure باستقصاء واجهة برمجة تطبيقات XBOW على مؤقت ودفع لقطات JSON للأصول إلى XbowAssets_CL، والنتائج التي تم إثراؤها (مع الأدلة ووصفات PoC والتأثير والتخفيف) في XbowFindings_CL، وتقييم أحداث دورة الحياة في XbowAssessments_CL، باستخدام Azure Monitor Ingestion API (DCE/DCR).

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
XbowAssets_CL لا لا
XbowFindings_CL لا لا
XbowAssessments_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • الرمز المميز لواجهة برمجة تطبيقات XBOW: مطلوب رمز مميز للوصول الشخصي XBOW. إنشاء واحد في وحدة تحكم XBOW ضمن الإعدادات > الرموز المميزة للوصول الشخصي. حدد نطاق الرمز المميز للمؤسسة التي تريد مراقبتها.
  • معرف مؤسسة XBOW: معرف المؤسسة من حساب XBOW الخاص بك. ابحث عنه في عنوان URL لوحدة تحكم XBOW أو عبر واجهة برمجة التطبيقات.
  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • المتطلبات الأساسية المخصصة إذا لزم الأمر، وإلا احذف علامة الجمارك هذه: وصف لأي متطلبات مسبقة مخصصة
  • Azure AD تسجيل التطبيق: مطلوب تسجيل تطبيق Azure AD (كيان الخدمة). يجب تعيين دور Monitoring Metrics Publisher يدويا في قاعدة جمع البيانات (DCR) إلى تسجيل التطبيق هذا بعد التوزيع.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure وواجهة برمجة تطبيقات Azure Monitor Ingestion (DCE/DCR) لاستيعاب أصول XBOW ونتائجه وتقييماته في Microsoft Sentinel. ينشئ قالب ARM تلقائيا نقطة نهاية تجميع البيانات وجداول السجل المخصصة (XbowAssets_CLو XbowFindings_CLو) وقاعدة XbowAssessments_CLتجميع البيانات و Function App. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azureوصفحة تسعير Azure Monitor للحصول على التفاصيل.

(خطوة اختيارية) قم بتخزين الرمز المميز لواجهة برمجة تطبيقات XBOW وبيانات اعتماد تسجيل التطبيق بأمان في Azure Key Vault. اتبع هذه الإرشادات لاستخدام مراجع Azure Key Vault مع Azure Function App.

الخطوة 1 - إنشاء رمز مميز لواجهة برمجة تطبيقات XBOW

  1. سجل الدخول إلى وحدة تحكم XBOW مع وصول المسؤول.
  2. انقر فوق أيقونة ملف التعريف (أعلى اليمين) وحدد الإعدادات.
  3. في الشريط الجانبي الأيسر، انقر فوق الرموز المميزة للوصول الشخصي.
  4. انقر فوق إنشاء رمز مميز جديد، وقم بتوفير اسم، وحدد نطاق المؤسسة.
  5. انسخ الرمز المميز وقم بتخزينه بأمان - لن يظهر مرة أخرى.
  6. لاحظ معرف المؤسسة من وحدة تحكم XBOW أو من عنوان URL عند عرض مؤسستك.

الخطوة 2 - إنشاء Azure AD تسجيل التطبيق ومنح دور DCR

  1. في مدخل Azure، انتقل إلى Azure تسجيلات > تطبيق Active Directory > تسجيل جديد.
  2. أدخل اسما (على سبيل المثال Xbow-Sentinel-Connector) وسجل.
  3. ضمن Certificates & secrets، قم بإنشاء سر عميل جديد. لاحظ معرف المستأجر ومعرف العميل وسر العميل.
  4. انشر الموصل باستخدام الخطوة 3 أدناه، ثم ارجع هنا.
  5. افتح قاعدة تجميع البيانات المنشورة (من مخرجات التوزيع أو عن طريق البحث في مجموعة الموارد).
  6. انتقل إلى Access control (IAM) > Add role assignment.
  7. حدد دور مراقبة مقاييس الناشر.
  8. تعيين الوصول إلى تسجيل التطبيق (كيان الخدمة) الذي تم إنشاؤه أعلاه.
  9. انتظر بضع دقائق لنشر RBAC قبل التحقق من الاستيعاب.

الخطوة 3 - نشر Azure Function App

انقر فوق Deploy Azure واملأ المعلمات. سيقوم القالب تلقائيا بإنشاء نقطة نهاية تجميع البيانات والجداول XbowAssets_CLXbowFindings_CLو وقاعدة XbowAssessments_CL تجميع البيانات و Function App.

aka.ms

المعلمات المراد تعبئتها:

المعلمه الوصف
WorkspaceName اسم مساحة عمل Log Analytics / Microsoft Sentinel
XbowApiToken الرمز المميز للوصول الشخصي ل XBOW من الخطوة 1
XbowOrgId معرف مؤسسة XBOW من الخطوة 1
TenantId Azure AD معرف المستأجر من الخطوة 2
ClientId معرف عميل تسجيل التطبيق من الخطوة 2
ClientSecret سر عميل تسجيل التطبيق من الخطوة 2
AppInsightsWorkspaceResourceID معرف المورد الكامل لمساحة عمل Log Analytics (من خصائص مساحة > عمل Log Analytics)
FunctionAppLocation منطقة Azure الاختيارية لموارد Function App (الإعدادات الافتراضية لموقع مجموعة الموارد)
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>



مقطع الشبكات الصفرية (دفع)

مدعوم من قبل:Zero Networks

يسمح موصل دفع مقطع الشبكات الصفرية للشبكات الصفرية بإرسال عمليات التدقيق وأنشطة الشبكة وأنشطة الهوية وأنشطة RPC مباشرة إلى Microsoft Sentinel في الوقت الفعلي. انشر الموصل لإنشاء قاعدة تجميع البيانات (DCR) وتطبيق Microsoft Entra؛ ثم قم بتكوين تطبيق Zero Networks بتفاصيل الاتصال لدفع الأحداث.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ZNAudit_CL نعم نعم
ZNNetworkActivity_CL نعم نعم
ZNIdentityActivity_CL نعم نعم
ZNRPCActivity_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Microsoft Entra: إذن لإنشاء تسجيل تطبيق في Microsoft Entra ID. يتطلب عادة Entra دور مطور تطبيق معرف أو أعلى.
  • Microsoft Azure: إذن لتعيين دور ناشر مقاييس المراقبة على قاعدة جمع البيانات (DCR). يتطلب عادة Azure دور مالك RBAC أو مسؤول وصول المستخدم.

إرشادات الإعداد:

1. إنشاء موارد ARM وتوفير الأذونات المطلوبة

انشر موصل الدفع لإنشاء جدول Log Analytics وقاعدة جمع البيانات (DCR) ونقطة نهاية تجميع البيانات (DCE) والتطبيق Microsoft Entra. ثم قم بتكوين تطبيق Zero Networks الخاص بك بتفاصيل الاتصال.

سيؤدي النقر فوق التكوين التلقائي "Deploy" إلى إنشاء DCR وDCE، ثم تسجيل تطبيق Microsoft Entra مع سر العميل ومنح أذونات على DCR. يمكن للتطبيق الخاص بك بعد ذلك إرسال البيانات بأمان باستخدام بيانات اعتماد عميل OAuth 2.0.

2. تكوين تطبيق الشبكات الصفرية

استخدم القيم التالية لتكوين تطبيق Zero Networks لدفع عمليات التدقيق وأنشطة الشبكة وأنشطة الهوية وأنشطة RPC إلى Microsoft Sentinel.

  • معرف المستأجر (معرف الدليل): <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra معرف التطبيق: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Entra Application Secret: <قيمة متغيرة متوفرة في وقت التثبيت>
  • URI لنقطة نهاية تجميع البيانات: <قيمة متغيرة متوفرة في وقت التثبيت>
  • معرف قاعدة تجميع البيانات غير القابل للتغيير: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Stream: عمليات التدقيق: <القيمة المتغيرة المتوفرة في وقت التثبيت>
  • Stream: أنشطة الشبكة: <قيمة متغيرة متوفرة في وقت التثبيت>
  • Stream: أنشطة الهوية: <القيمة المتغيرة المتوفرة في وقت التثبيت>
  • Stream: أنشطة RPC: <قيمة متغيرة متوفرة في وقت التثبيت>



تدقيق مقطع الشبكات الصفرية

مدعوم من قبل:Zero Networks

يوفر موصل بيانات تدقيق مقطع الشبكات الصفرية القدرة على استيعاب أحداث تدقيق الشبكات الصفرية في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. يستخدم موصل البيانات هذا Microsoft Sentinel إمكانية التحقق الأصلية.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ZNSegmentAuditNativePoller_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • الرمز المميز لواجهة برمجة تطبيقات الشبكات الصفرية: ZeroNetworksAPIToken مطلوب لواجهة برمجة تطبيقات REST. راجع دليل واجهة برمجة التطبيقات واتبع الإرشادات للحصول على بيانات الاعتماد.

إرشادات الإعداد:

توصيل Zero Networks ب Microsoft Sentinel

أدخل عنوان URL لواجهة برمجة تطبيقات الشبكات الصفرية (على سبيل المثال، portal.zeronetworks.com). يضيف الموصل https:// و/api/v1/audit تلقائيا. ثم قم بتوفير مفتاح واجهة برمجة التطبيقات وانقر فوق اتصال.

  • عنوان URL لواجهة برمجة تطبيقات الشبكات الصفرية: (portal.zeronetworks.com)
  • ApiKey: (ApiKey)
  • تمكين/تعطيل الاتصال
  • شبكة موصلات البيانات (تكوين في المدخل)



ZeroFox CTI

مدعوم من قبل:ZeroFox

توفر موصلات بيانات ZeroFox CTI القدرة على استيعاب تنبيهات التحليل الذكي للمخاطر الإلكترونية ل ZeroFox المختلفة في Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ZeroFox_CTI_advanced_dark_web_CL لا لا
ZeroFox_CTI_botnet_CL لا لا
ZeroFox_CTI_breaches_CL لا لا
ZeroFox_CTI_C2_CL لا لا
ZeroFox_CTI_compromised_credentials_CL لا لا
ZeroFox_CTI_credit_cards_CL لا لا
ZeroFox_CTI_dark_web_CL لا لا
ZeroFox_CTI_discord_CL لا لا
ZeroFox_CTI_disruption_CL لا لا
ZeroFox_CTI_email_addresses_CL لا لا
ZeroFox_CTI_exploits_CL لا لا
ZeroFox_CTI_irc_CL لا لا
ZeroFox_CTI_malware_CL لا لا
ZeroFox_CTI_national_ids_CL لا لا
ZeroFox_CTI_phishing_CL لا لا
ZeroFox_CTI_phone_numbers_CL لا لا
ZeroFox_CTI_ransomware_CL لا لا
ZeroFox_CTI_telegram_CL لا لا
ZeroFox_CTI_threat_actors_CL لا لا
ZeroFox_CTI_vulnerabilities_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات ZeroFox: اسم المستخدم ZeroFox، الرمز المميز للوصول الشخصي ZeroFox مطلوب لواجهة برمجة تطبيقات ZeroFox CTI REST.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات ZeroFox CTI REST لسحب السجلات إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - استرداد بيانات اعتماد ZeroFox:

اتبع هذه الإرشادات لإعداد التسجيل والحصول على بيانات الاعتماد.

  1. سجل الدخول إلى موقع ZeroFox على الويب. استخدام اسم المستخدم وكلمة المرور 2 - انقر فوق الزر إعدادات وانتقل إلى قسم موصلات البيانات. 3 - حدد علامة التبويب API DATA FEEDS واتجه إلى أسفل الصفحة، وحدد <<Reset>> في مربع API Information، للحصول على رمز مميز للوصول الشخصي لاستخدامه مع اسم المستخدم الخاص بك.

الخطوة 2 - توزيع موصلات بيانات Azure Function باستخدام قالب Azure Resource Manager:

الهامه: قبل نشر موصل بيانات ZeroFox CTI، يكون معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، متاحين بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

إعداد الموارد للتوزيع.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد ومساحة عمل تحليلات السجل والموقع.

  3. أدخل معرف مساحة العمل، ومفتاح مساحة العمل، واسم مستخدم ZeroFox، ورمز الوصول الشخصي ZeroFox المميز

  5. انقر فوق مراجعة + إنشاء للنشر.



ZeroFox Enterprise - التنبيهات (استقصاء CCF)

مدعوم من قبل:ZeroFox

يجمع التنبيهات من ZeroFox API.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ZeroFoxAlertPoller_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

إرشادات الإعداد:

توصيل ZeroFox Microsoft Sentinel

توصيل ZeroFox Microsoft Sentinel

  • توفير ZeroFox PAT الخاص بك: (Zerofox PAT)
  • تمكين/تعطيل الاتصال



Zimperium Mobile Threat Defense

مدعوم من قبل:Zimperium

يمنحك موصل Zimperium Mobile Threat Defense القدرة على توصيل سجل تهديدات Zimperium Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. يمنحك هذا مزيدا من التفاصيل حول مشهد التهديدات المتنقلة لمؤسستك ويعزز قدرات عملية الأمان الخاصة بك.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ZimperiumThreatLog_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

إرشادات الإعداد:

تكوين وتوصيل Zimperium MTD

  1. في zConsole، انقر فوق إدارة على شريط التنقل.
  2. انقر فوق علامة التبويب التكاملات .
  3. انقر فوق الزر Threat Reporting ثم الزر Add Integrations .
  4. إنشاء التكامل:
  • من عمليات التكامل المتوفرة، حدد Microsoft Microsoft Sentinel.
  • أدخل معرف مساحة العمل والمفتاح الأساسي من الحقول أدناه، وانقر فوق التالي.
  • املأ اسما لتكامل Microsoft Sentinel.
  • حدد مستوى عامل التصفية لبيانات التهديد التي ترغب في دفعها إلى Microsoft Sentinel.
  • انقر فوق إنهاء
  1. للحصول على إرشادات إضافية، يرجى الرجوع إلى مدخل دعم عملاء Zimperium.
  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



تقارير التكبير/التصغير (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات تقارير التكبير/التصغير القدرة على استيعاب أحداث تقارير التكبير/التصغير في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Zoom_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات Zoom لسحب سجلاتها إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار Zoom وقم بتحميل التعليمة البرمجية للدالة أو انقر هنا. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات التكبير/التصغير

اتبع الإرشادات للحصول على بيانات الاعتماد.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات تقارير التكبير/التصغير، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Zoom Audit باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل AccountID و ClientID و ClientSecret و WorkspaceID و WorkspaceKey و Function Name وانقر فوق Review + create. 4. وأخيرا انقر فوق إنشاء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات تقارير التكبير/التصغير يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال ZoomXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين تطبيق الوظائف

الخطوة 2 - تكوين تطبيق الوظائف

  1. في Function App، حدد Function App Name وحدد Configuration.
  2. في علامة التبويب Application settings، حدد New application setting.
  3. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): AccountID ClientID ClientSecret WorkspaceID WorkspaceKey logAnalyticsUri (اختياري) استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  4. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



موصل تقارير التكبير/التصغير (عبر إطار عمل موصل بدون تعليمات برمجية)

مدعوم من قبل:Microsoft Corporation

يمكنك موصل بيانات تقارير التكبير/التصغير من استيعاب بيانات تقارير التكبير/التصغير في Microsoft Sentinel من خلال واجهة برمجة تطبيقات تكبير/تصغير REST الإصدار 2، مما يسمح لك بمراقبة استخدام التكبير/التصغير وتدقيقه عبر مؤسستك. يستخدم هذا الموصل بيانات اعتماد حساب OAuth من خادم إلى خادم للمصادقة ويدعم استيعاب أنواع تقارير متعددة بما في ذلك تقارير الاستخدام اليومي لإحصائيات الاجتماعات ومقاييس الاستخدام، وتقارير المستخدم لمعلومات مضيف المستخدم النشطة/غير النشطة، وتقارير الاتصالات الهاتفية لإحصاءات استخدام الهاتف، وتقارير استخدام التسجيل السحابي للتخزين السحابي واستخدام التسجيل، وسجلات العمليات للعمليات الإدارية وسجل التدقيق، وسجلات النشاط لأنشطة تسجيل دخول/تسجيل الخروج للمستخدم. يتم جمع كل نوع تقرير في تكوين استقصاء منفصل مع دعم ترقيم الصفحات التلقائي باستخدام NextPageToken. تم إنشاء موصل البيانات على Microsoft Sentinel Codeless Connector Framework ويدعم تحويلات وقت الاستيعاب المستندة إلى DCR لأداء الاستعلام المحسن.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
ZoomV2_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • الوصول إلى واجهة برمجة تطبيقات التكبير/التصغير: الوصول إلى واجهة برمجة تطبيقات Rest v2 باستخدام بيانات اعتماد الحساب

إرشادات الإعداد:

1. تكوين التكبير/التصغير

تكوين تطبيق OAuth من خادم إلى خادم وجمع بيانات الاعتماد

الخطوة 1: إعداد تطبيق Zoom Server-to-Server OAuth، اتبع إنشاء تطبيق. يرجى التأكد من إضافة النطاقات ذات الصلة بالتقارير إلى تطبيقك:

  • report:read:list_users:admin
  • report:read:cloud_recording:admin
  • report:read:daily_usage:admin
  • report:read:operation_logs:admin
  • report:read:telephone:admin
  • report:read:user_activities:admin

لمزيد من المعلومات، راجع واجهات برمجة تطبيقاتوثائق وتقارير Zoom Server-to-Server OAuth.

الخطوة 2: الحصول على بيانات اعتماد التطبيق

ابحث عن بيانات اعتماد التطبيق (معرف الحساب ومعرف العميل وسر العميل) على صفحتك Personal app management على Zoom App Marketplace

ملاحظات الأمان

  • معرف حساب المتجر ومعرف العميل وسر العميل بأمان

  • تدوير بيانات الاعتماد بانتظام لتحسين الأمان

    • معرف العميل: (معرف عميل تطبيق التكبير/التصغير)
    • سر العميل: (سر عميل تطبيق التكبير/التصغير)
    • معرف الحساب: (معرف حساب التكبير/التصغير)
    • عنوان URL الأساسي للرمز المميز: (https://zoom.us/oauth/token)
    • عنوان URL الأساسي لواجهة برمجة التطبيقات: (https://api.zoom.us/v2)

2. الاتصال

تمكين موصل تقارير التكبير/التصغير

تنشيط الموصل

راجع بيانات اعتماد Zoom App الموجودة في الخطوة 2، ثم قم بتمكين الموصل لبدء جمع بيانات تقارير التكبير/التصغير.

رصد

تحقق من وصول البيانات باستخدام هذه الاستعلامات:

تحقق من جميع أنواع التقارير:

ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType

تحقق من نوع تقرير معين:

ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10

مراقبة صحة الموصل:

ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc
  • تمكين/تعطيل الاتصال



موصلات بيانات Sentinel مهملة

ملاحظة

يسرد الجدول التالي موصلات البيانات القديمة والمهملة. لم تعد الموصلات المهملة مدعومة.

[مهمل] سجلات Auth0 (باستخدام وظيفة Azure) (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Auth0 Logs (باستخدام Azure Function) القدرة على استيعاب أحداث سجل Auth0 في Microsoft Sentinel

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Auth0AM_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: الرمز المميز لواجهة برمجة التطبيقات مطلوب. لمزيد من المعلومات، راجع الرمز المميز لواجهة برمجة التطبيقات

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهات برمجة تطبيقات Auth0 Management لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات إدارة Auth0

اتبع الإرشادات للحصول على بيانات الاعتماد.

  1. في Auth0 Dashboard، انتقل إلى Applications > Applications.
  2. حدد التطبيق الخاص بك. يجب أن يكون هذا تطبيق "من جهاز إلى جهاز" تم تكوينه بأذونات read:logs وقراءة:logs_users على الأقل.
  3. نسخ المجال، معرف العميل، سر العميل

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات Auth0 Access Management، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذه الطريقة للتوزيع التلقائي لموصل بيانات Auth0 Access Management باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل المجال، ClientID، سر العميل، AzureSentinelWorkspaceId، AzureSentinelSharedKey. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Auth0 Access Management يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، Auth0AMXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



[مهمل] سجل تدقيق المؤسسة GitHub

مدعوم من قبل:Microsoft Corporation

يوفر موصل سجل تدقيق GitHub القدرة على استيعاب سجلات GitHub في Microsoft Sentinel. من خلال توصيل سجلات تدقيق GitHub في Microsoft Sentinel، يمكنك عرض هذه البيانات في المصنفات، واستخدامها لإنشاء تنبيهات مخصصة، وتحسين عملية التحقيق.

ملاحظه: إذا كنت تنوي استيعاب الأحداث المشتركة في GitHub في Microsoft Sentinel، فيرجى الرجوع إلى موصل GitHub (باستخدام Webhooks) من معرض "موصلات البيانات".

ملاحظة: تم إهمال موصل البيانات هذا، ضع في اعتبارك الانتقال إلى موصل بيانات CCF المتوفر في الحل الذي يحل محل الاستيعاب عبر واجهة برمجة تطبيقات جامع بيانات HTTP المهملة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
GitHubAuditLogPolling_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • رمز الوصول الشخصي لواجهة برمجة تطبيقات GitHub: تحتاج إلى رمز مميز للوصول الشخصي GitHub لتمكين التحقق من سجل تدقيق المؤسسة. يمكنك استخدام إما رمز كلاسيكي مع نطاق "read:org" أو رمز مميز دقيق مع نطاق "الإدارة: للقراءة فقط".
  • نوع GitHub Enterprise: سيعمل هذا الموصل فقط مع GitHub Enterprise Cloud؛ لن يدعم GitHub Enterprise Server.

إرشادات الإعداد:

قم بتوصيل سجل التدقيق على مستوى مؤسسة GitHub على مستوى المؤسسة Microsoft Sentinel

تمكين سجلات تدقيق GitHub. اتبع هذا الدليل لإنشاء رمز الوصول الشخصي أو العثور عليه.



[مهمل] Infoblox SOC Insight Data Connector عبر Legacy Agent

مدعوم من قبل:Infoblox

يسمح لك Infoblox SOC Insight Data Connector بتوصيل بيانات Infoblox BloxOne SOC Insight بسهولة باستخدام Microsoft Sentinel. من خلال توصيل سجلاتك Microsoft Sentinel، يمكنك الاستفادة من البحث & الارتباط والتنبيه وإثراء التحليل الذكي للمخاطر لكل سجل.

يدمج موصل البيانات هذا سجلات Infoblox SOC Insight CDC في مساحة عمل Log Analytics باستخدام عامل Log Analytics القديم.

توصي Microsoft بتثبيت Infoblox SOC Insight Data Connector عبر موصل AMA. يستخدم الموصل القديم عامل Log Analytics الذي على وشك أن يتم إهماله بحلول 31 أغسطس 2024، ويجب تثبيته فقط حيث لا يتم دعم AMA.

يمكن أن يؤدي استخدام MMA و AMA على نفس الجهاز إلى تكرار السجل وتكلفة استيعاب إضافية. مزيد من التفاصيل.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CommonSecurityLog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

إرشادات الإعداد:

مفاتيح مساحة العمل

لاستخدام أدلة المبادئ كجزء من هذا الحل، ابحث عن معرف مساحة العمل والمفتاح الأساسي لمساحة العمل أدناه لراحتك.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • مفتاح مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

موزعي

يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع يسمى InfobloxCDC_SOCInsights الذي يتم توزيعه باستخدام حل Microsoft Sentinel.

SOC Insights

يفترض موصل البيانات هذا أن لديك حق الوصول إلى Infoblox BloxOne Threat Defense SOC Insights. يمكنك العثور على مزيد من المعلومات حول SOC Insights هنا.

Infoblox Cloud Data Connector

يفترض موصل البيانات هذا أنه تم بالفعل إنشاء مضيف Infoblox Data Connector وتكوينه في مدخل Infoblox Cloud Services (CSP). نظرا لأن Infoblox Data Connector هو ميزة من ميزات BloxOne Threat Defense، يلزم الوصول إلى اشتراك BloxOne Threat Defense المناسب. راجع دليل البدء السريع هذا لمزيد من المعلومات ومتطلبات الترخيص.

1. Linux تكوين عامل Syslog

قم بتثبيت عامل Linux وتكوينه لجمع رسائل Syslog بتنسيق الحدث الشائع (CEF) وإعادة توجيهها إلى Microsoft Sentinel.

لاحظ أنه سيتم تخزين البيانات من جميع المناطق في مساحة العمل المحددة

1.1 تحديد جهاز Linux أو إنشائه

حدد أو أنشئ جهازا Linux سيستخدمه Microsoft Sentinel كوكيل بين حل الأمان الخاص بك Microsoft Sentinel يمكن أن يكون هذا الجهاز على البيئة المسبقة أو Azure أو السحب الأخرى.

1.2 تثبيت مجمع CEF على جهاز Linux

قم بتثبيت عامل مراقبة Microsoft على جهاز Linux وتكوين الجهاز للاستماع إلى المنفذ الضروري وإعادة توجيه الرسائل إلى مساحة عمل Microsoft Sentinel. يجمع مجمع CEF رسائل CEF على المنفذ 514 TCP.

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version.

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك.

  • قم بتشغيل الأمر التالي لتثبيت وتطبيق مجمع CEF:< قيمة متغيرة متوفرة في وقت التثبيت>

2. داخل مدخل Infoblox Cloud Services، قم بتكوين Infoblox BloxOne لإرسال بيانات CEF Syslog إلى Infoblox Cloud Data Connector لإعادة التوجيه إلى عامل Syslog

اتبع الخطوات أدناه لتكوين Infoblox CDC لإرسال بيانات BloxOne إلى Microsoft Sentinel عبر عامل Linux Syslog.

  1. انتقل إلى إدارة > موصل البيانات.
  2. انقر فوق علامة التبويب تكوين الوجهة في الأعلى.
  3. انقر فوق Create > Syslog.
  • الاسم: امنح الوجهة الجديدة اسما ذا معنى، مثل Microsoft-Sentinel-Destination.
  • الوصف: أعطه وصفا ذا معنى اختياريا.
  • الحالة: قم بتعيين الحالة إلى ممكن.
  • التنسيق: قم بتعيين التنسيق إلى CEF.
  • FQDN/IP: أدخل عنوان IP لجهاز Linux الذي تم تثبيت عامل Linux عليه.
  • المنفذ: اترك رقم المنفذ عند 514.
  • البروتوكول: حدد البروتوكول المطلوب وشهادة المرجع المصدق إذا كان ذلك ممكنا.
  • انقر فوق حفظ & إغلاق.
  1. انقر فوق علامة التبويب تكوين تدفق نسبة استخدام الشبكة في الأعلى.
  2. انقر فوق إنشاء.
  • الاسم: امنح تدفق نسبة استخدام الشبكة الجديد اسما ذا معنى، مثل Microsoft-Sentinel-Flow.
  • الوصف: أعطه وصفا ذا معنى اختياريا.
  • الحالة: قم بتعيين الحالة إلى ممكن.
  • قم بتوسيع قسم مثيل الخدمة .
  • مثيل الخدمة: حدد مثيل الخدمة المطلوب الذي تم تمكين خدمة موصل البيانات له.
  • قم بتوسيع قسم تكوين المصدر .
  • المصدر: حدد BloxOne Cloud Source.
  • حدد نوع سجل الإعلامات الداخلية .
  • قم بتوسيع قسم تكوين الوجهة .
  • حدد الوجهة التي أنشأتها للتو.
  • انقر فوق حفظ & إغلاق.
  1. اسمح للتكوين ببعض الوقت للتنشيط.

3. التحقق من صحة الاتصال

اتبع الإرشادات للتحقق من صحة الاتصال:

افتح Log Analytics للتحقق مما إذا تم تلقي السجلات باستخدام مخطط CommonSecurityLog.

قد يستغرق الأمر حوالي 20 دقيقة حتى يقوم الاتصال ببث البيانات إلى مساحة العمل الخاصة بك.

إذا لم يتم تلقي السجلات، فقم بتشغيل البرنامج النصي التالي للتحقق من صحة الاتصال:

  1. تأكد من أن لديك Python على جهازك باستخدام الأمر التالي: python -version

  2. يجب أن يكون لديك أذونات مرتفعة (sudo) على جهازك

  • قم بتشغيل الأمر التالي للتحقق من صحة الاتصال:: <قيمة متغيرة متوفرة في وقت التثبيت>

**4. تأمين جهازك **

تأكد من تكوين أمان الجهاز وفقا لنهج الأمان الخاص بمؤسستك

التعرف على المزيد >



[مهمل] سجلات أمان IONIX (دفع)

مدعوم من قبل:IONIX

⚠️ تم إهمال هذا الموصل وسيتم إزالته في يونيو 2026. يرجى استخدام موصل "سجلات أمان IONIX" الجديد (عبر Codeless Connector Framework)بدلا من ذلك، والذي يوفر استقصاء يوميا تلقائيا دون الحاجة إلى تكوين يدوي في مدخل IONIX.

يدمج موصل بيانات IONIX Security Logs السجلات من نظام IONIX مباشرة إلى Sentinel. يسمح الموصل للمستخدمين بتصور بياناتهم وإنشاء التنبيهات والحوادث وتحسين تحقيقات الأمان.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CyberpionActionItems_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

إرشادات الإعداد:

اتبع الإرشادات لدمج تنبيهات أمان IONIX في Sentinel.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>



[مهمل] اطلاع

مدعوم من قبل:Lookout

يوفر موصل بيانات Lookout القدرة على استيعاب أحداث Lookout في Microsoft Sentinel من خلال واجهة برمجة تطبيقات مخاطر الأجهزة المحمولة. راجع وثائق واجهة برمجة التطبيقات لمزيد من المعلومات. يوفر موصل بيانات Lookout القدرة على الحصول على الأحداث التي تساعد على فحص المخاطر الأمنية المحتملة والمزيد.

ملاحظة: تم إهمال موصل البيانات هذا، ضع في اعتبارك الانتقال إلى موصل بيانات CCF المتوفر في الحل الذي يحل محل الاستيعاب عبر واجهة برمجة تطبيقات جامع بيانات HTTP المهملة.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Lookout_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات مخاطر الأجهزة المحمولة: مطلوب EnterpriseName & ApiKey لواجهة برمجة تطبيقات مخاطر الأجهزة المحمولة. لمزيد من المعلومات، راجع واجهة برمجة التطبيقات. تحقق من جميع المتطلبات واتبع الإرشادات للحصول على بيانات الاعتماد.

إرشادات الإعداد:

ملاحظه: يستخدم موصل بيانات Lookout هذا دالات Azure للاتصال بواجهة برمجة تطبيقات مخاطر الأجهزة المحمولة لسحب أحداثه إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع LookoutEvents الذي يتم نشره باستخدام Microsoft Sentinel Solution.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات مخاطر الأجهزة المحمولة

اتبع الإرشادات للحصول على بيانات الاعتماد.

الخطوة 2 - اتبع الإرشادات المذكورة أدناه لنشر موصل بيانات Lookout ودالة Azure المقترنة

الهامه: قبل بدء نشر موصل بيانات Lookout ، تأكد من أن معرف مساحة العمل ومفتاح مساحة العمل جاهزين (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • مفتاح مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>

قالب Azure Resource Manager (ARM)

اتبع الخطوات التالية للتوزيع التلقائي لموصل بيانات Lookout باستخدام قالب ARM.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والمنطقة.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل اسم الدالة ومعرف مساحة العملومفتاح مساحة العملواسم المؤسسة & مفتاح واجهة برمجة التطبيقات وانشر. 4. انقر فوق إنشاء للنشر.



[مهمل] سجلات وأحداث Microsoft Exchange

مدعوم من قبل:المجتمع

مهمل، استخدم موصلات البيانات "ESI-Opt". يمكنك دفق جميع أحداث تدقيق Exchange وسجلات IIS وسجلات وكيل HTTP وسجلات أحداث الأمان من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكنك هذا الاتصال من عرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. يتم استخدام هذا بواسطة Microsoft Exchange Security Workbooks لتوفير رؤى أمان لبيئة Exchange المحلية

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Event نعم لا
SecurityEvent نعم نعم
W3CIISLog نعم لا
MessageTrackingLog_CL نعم نعم
ExchangeHttpProxy_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • Azure سيتم إهمال Log Analytics، لجمع البيانات من الأجهزة الظاهرية غير Azure، يوصى Azure Arc. معرفة المزيد
  • الوثائق التفصيلية: >ملاحظة: يمكن العثور على وثائق مفصلة حول إجراء التثبيت والاستخدام هنا

إرشادات الإعداد:

ملاحظه: يعتمد هذا الحل على الخيارات. يسمح لك هذا باختيار البيانات التي سيتم استيعابها حيث يمكن لبعض الخيارات إنشاء حجم كبير جدا من البيانات. اعتمادا على ما تريد جمعه، يمكنك تعقب المصنفات وقواعد التحليلات وقدرات التتبع التي ستختار الخيار (الخيارات) التي ستنشرها. كل خيارات مستقلة عن الأخرى. لمعرفة المزيد حول كل خيار: "أمان Microsoft Exchange" wiki

1. قم بتنزيل وتثبيت العوامل اللازمة لجمع السجلات Microsoft Sentinel

يعتمد نوع الخوادم (خوادم Exchange أو وحدات التحكم بالمجال المرتبطة بخوادم Exchange أو جميع وحدات التحكم بالمجال) على الخيار الذي تريد نشره.

توزيع عوامل المراقبة

هذه الخطوة مطلوبة فقط إذا كانت هذه هي المرة الأولى التي تقوم فيها بإلحاق Exchange Servers/Domain Controllers

حدد العامل الذي تريد تثبيته في خوادمك لجمع السجلات:

[الأفضل] Azure Monitor Agent عبر Azure Arc

نشر عامل Azure Arc تعرف على المزيد

تثبيت Azure Log Analytics Agent (مهمل في 31/08/2024)

  1. قم بتنزيل عامل Azure Log Analytics واختر طريقة التوزيع في الارتباط أدناه.
  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

2. نشر سجل injestion باتباع الخيارات التي تم اختيارها

[الخيار 1] مجموعة سجل إدارة MS Exchange

حدد كيفية دفق MS Exchange مسؤول سجلات أحداث التدقيق

MS Exchange مسؤول سجلات أحداث التدقيق

قواعد جمع البيانات - عند استخدام عامل Azure Monitor

تمكين قاعدة جمع البيانات Microsoft Exchange مسؤول يتم جمع سجلات أحداث التدقيق فقط من وكلاء Windows.

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCR.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل اسم مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

A. إنشاء DCR، اكتب سجل الأحداث

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة، وحدد Windows كنوع النظام الأساسي وامنح اسما ل DCR.
  4. في علامة التبويب الموارد ، أدخل خوادم Exchange.
  5. في "التجميع والتسليم"، أضف نوع مصدر البيانات "سجلات أحداث Windows" وحدد خيار "مخصص"، وأدخل "إدارة MSExchange" كتعبير وأضفه.
  6. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR

قواعد جمع البيانات - عند استخدام عامل Azure Log Analytics القديم

تكوين السجلات التي سيتم تجميعها

قم بتكوين الأحداث التي تريد جمعها وشدتها.

  1. ضمن workspace Legacy agents management، حدد Windows Event logs.
  2. انقر فوق Add Windows event log وأدخل MSExchange Management كاسم سجل.
  3. جمع أنواع الأخطاء والتحذير والمعلومات
  4. انقر فوق حفظ.
  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

[الخيار 2] سجلات الأمان/التطبيق/النظام لخوادم Exchange

حدد كيفية دفق سجلات الأمان/التطبيق/النظام لخوادم Exchange

مجموعة سجل أحداث الأمان

قواعد جمع البيانات - سجلات أحداث الأمان

تمكين قاعدة جمع البيانات لسجلات أحداث أمان سجلات الأمان يتم جمعها فقط من وكلاء Windows .

  1. إضافة خوادم Exchange على علامة التبويب الموارد .
  2. حدد مستوى سجل الأمان

المستوى الشائع هو الحد الأدنى المطلوب. الرجاء تحديد "Common" أو "All Security Events" في تعريف DCR.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

مجموعة سجل أحداث التطبيق والنظام

قواعد جمع البيانات - عند استخدام عامل Azure Monitor

يتم تجميع سجلات تطبيق قاعدة جمع البيانات وأحداث النظام فقط من وكلاء Windows .

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCR.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل اسم مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

A. إنشاء DCR، اكتب سجل الأحداث

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة، وحدد Windows كنوع النظام الأساسي وامنح اسما ل DCR.
  4. في علامة التبويب الموارد ، أدخل خوادم Exchange.
  5. في "التجميع والتسليم"، أضف نوع مصدر البيانات "سجلات أحداث Windows" وحدد الخيار "أساسي".
  6. بالنسبة للتطبيق، حدد "حرج" و"خطأ" و"تحذير". بالنسبة للنظام، حدد Critical/Error/Warning/Information.
  7. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR

قواعد جمع البيانات - عند استخدام عامل Azure Log Analytics القديم

تكوين السجلات التي سيتم تجميعها

قم بتكوين الأحداث التي تريد جمعها وشدتها.

  1. ضمن إعدادات مساحة العمل المتقدمة التكوين، حدد البيانات ثم سجلات أحداث Windows.
  2. انقر فوق إضافة سجل أحداث Windows وابحث في التطبيق كاسم سجل.
  3. انقر فوق إضافة سجل أحداث Windows وابحث عن النظام كاسم سجل.
  4. جمع الخطأ (للجميع)، والتحذير (للجميع) والمعلومات (للنظام) أنواع
  5. انقر فوق حفظ.
  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

[الخيار 3 و4] سجلات الأمان لوحدات التحكم بالمجال

حدد كيفية دفق سجلات الأمان لوحدات التحكم بالمجال. إذا كنت ترغب في تنفيذ الخيار 3، فما عليك سوى تحديد DC على نفس موقع Exchange Servers. إذا كنت ترغب في تنفيذ الخيار 4، يمكنك تحديد جميع DCs الخاصة بغابتك.

[الخيار 3] سرد وحدات تحكم المجال فقط على نفس الموقع مثل خوادم Exchange للخطوة التالية

يحد هذا من كمية البيانات التي تم قذفها ولكن لا يمكن الكشف عن بعض الحوادث.

[الخيار 4] سرد جميع وحدات التحكم بالمجال في غابة Active-Directory للخطوة التالية

يسمح هذا بجمع جميع أحداث الأمان

مجموعة سجل أحداث الأمان

قواعد جمع البيانات - سجلات أحداث الأمان

تمكين قاعدة جمع البيانات لسجلات أحداث أمان سجلات الأمان يتم جمعها فقط من وكلاء Windows .

  1. إضافة DCs المختارة في علامة التبويب الموارد .
  2. حدد مستوى سجل الأمان

المستوى الشائع هو الحد الأدنى المطلوب. الرجاء تحديد "Common" أو "All Security Events" في تعريف DCR.

  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

[الخيار 5] سجلات IIS لخوادم Exchange

حدد كيفية دفق سجلات IIS لخوادم Exchange

قواعد جمع البيانات - عند استخدام عامل Azure Monitor

يتم جمع سجلات IIS لقاعدة تجميع البيانات فقط من وكلاء Windows .

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCE وDCR.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. يمكنك تغيير الاسم المقترح ل DCE.

  4. انقر فوق إنشاء للنشر.

ب. توزيع قاعدة اتصال البيانات

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. من مدخل Azure، انتقل إلى نقطة نهاية تجميع البيانات Azure.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة وامنح اسما ل DCE.
  4. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

ب. إنشاء DCR، اكتب سجل IIS

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة، وحدد Windows كنوع النظام الأساسي وامنح اسما ل DCR. حدد DCE الذي تم إنشاؤه.
  4. في علامة التبويب الموارد ، أدخل خوادم Exchange.
  5. في "التجميع والتسليم"، أضف نوع مصدر البيانات "سجلات IIS" (لا تدخل مسارا إذا تم تكوين مسار سجلات IIS بشكل افتراضي). انقر فوق "إضافة مصدر بيانات"
  6. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR

قواعد جمع البيانات - عند استخدام عامل Azure Log Analytics القديم

تكوين السجلات التي سيتم تجميعها

قم بتكوين الأحداث التي تريد جمعها وشدتها.

  1. ضمن إعدادات مساحة العمل المتقدمة التكوين، حدد البيانات ثم سجلات IIS.
  2. التحقق من تجميع ملفات سجل IIS بتنسيق W3C
  3. انقر فوق حفظ.
  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

[الخيار 6] تعقب الرسائل لخوادم Exchange

حدد كيفية دفق تعقب الرسائل لخوادم Exchange

قواعد جمع البيانات - عند استخدام عامل Azure Monitor

يتم تجميع تمكين قاعدة جمع البيانات تعقب الرسائل فقط من وكلاء Windows .

ملاحظة: الانتباه، السجلات المخصصة في عامل المراقبة قيد المعاينة. لا يعمل التوزيع كما هو متوقع في الوقت الحالي (مارس 2023).

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCE وDCR.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. يمكنك تغيير الاسم المقترح ل DCE.

  4. انقر فوق إنشاء للنشر.

ب. توزيع قاعدة اتصال البيانات والجدول المخصص

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. من مدخل Azure، انتقل إلى نقطة نهاية تجميع البيانات Azure.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة وامنح اسما ل DCE، مثل ESI-ExchangeServers.
  4. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

ب. إنشاء جدول DCR مخصص

  1. قم بتنزيل ملف Example من Microsoft Sentinel GitHub.

  2. من مدخل Azure، انتقل إلى Workspace Analytics وحدد مساحة العمل الهدف.

  3. انقر في "الجداول"، وانقر فوق + إنشاء في الأعلى وحدد سجل مخصص جديد (يستند إلى DCR).

  4. في علامة التبويب Basics، أدخل MessageTrackingLog على اسم الجدول، وأنشئ قاعدة تجميع البيانات باسم DCR-Option6-MessageTrackingLogs (على سبيل المثال) وحدد نقطة نهاية تجميع البيانات التي تم إنشاؤها مسبقا.

  5. في علامة التبويب Schema and Transformation، اختر ملف العينة الذي تم تنزيله وانقر فوق Transformation Editor.

  6. في حقل التحويل، أدخل طلب KQL التالي: source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | خارج المشروع ['client-ip']، ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']

  7. انقر فوق "تشغيل" وبعد "تطبيق".

  8. انقر فوق التالي، ثم انقر فوق إنشاء.

ج. تعديل DCR الذي تم إنشاؤه، اكتب سجل مخصص

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. حدد DCR الذي تم إنشاؤه مسبقا، مثل DCR-Option6-MessageTrackingLogs.
  3. في علامة التبويب الموارد ، أدخل خوادم Exchange.
  4. في مصادر البيانات، أضف نوع مصدر البيانات "سجلات النص المخصص" وأدخل "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log" في نمط الملف، "MessageTrackingLog_CL" في اسم الجدول. 6.in حقل Transform، أدخل طلب KQL التالي: source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id']، totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | خارج المشروع ['client-ip']، ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-status'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], [' schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
  5. انقر فوق "إضافة مصدر بيانات".

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR

قواعد جمع البيانات - عند استخدام عامل Azure Log Analytics القديم

تكوين السجلات التي سيتم تجميعها

  1. ضمن جزء إعدادات مساحة العمل، حدد جداول، وانقر فوق + إنشاء وانقر فوق سجل مخصص جديد (مستند إلى MMA).
  2. حدد نموذج ملف MessageTracking Sample وانقر فوق Next
  3. حدد اكتب Windows وأدخل المسار C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log. انقر فوق "التالي".
  4. أدخل MessageTrackingLog كاسم جدول وانقر فوق التالي.
  5. انقر فوق حفظ.
  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

[الخيار 7] وكيل HTTP لخوادم Exchange

حدد كيفية دفق وكيل HTTP لخوادم Exchange

قواعد جمع البيانات - عند استخدام عامل Azure Monitor

يتم تجميع تمكين قاعدة جمع البيانات تعقب الرسائل فقط من وكلاء Windows .

ملاحظة: الانتباه، السجلات المخصصة في عامل المراقبة قيد المعاينة. لا يعمل التوزيع كما هو متوقع في الوقت الحالي (مارس 2023).

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي ل DCE وDCR.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. يمكنك تغيير الاسم المقترح ل DCE.

  4. انقر فوق إنشاء للنشر.

ب. توزيع قاعدة اتصال البيانات

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل 'و/أو الحقول المطلوبة الأخرى'.

  4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.

  5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لأتمتة Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر قاعدة تجميع البيانات يدويا.

A. إنشاء DCE (إذا لم يكن قد تم إنشاؤه بالفعل لخوادم Exchange)

  1. من مدخل Azure، انتقل إلى نقطة نهاية تجميع البيانات Azure.
  2. انقر فوق + إنشاء في الأعلى.
  3. في علامة التبويب Basics ، املأ الحقول المطلوبة وامنح اسما ل DCE.
  4. "قم بإجراء تغييرات التكوين المفضلة الأخرى"، إذا لزم الأمر، ثم انقر فوق إنشاء.

ب. إنشاء جدول DCR مخصص

  1. قم بتنزيل ملف Example من Microsoft Sentinel GitHub.
  2. من مدخل Azure، انتقل إلى Workspace Analytics وحدد مساحة العمل الهدف.
  3. انقر في "الجداول"، وانقر فوق + إنشاء في الأعلى وحدد سجل مخصص جديد (يستند إلى DCR).
  4. في علامة التبويب الأساسيات، أدخل ExchangeHttpProxy على اسم الجدول، وأنشئ قاعدة تجميع بيانات باسم DCR-Option7-HTTPProxyLogs (على سبيل المثال) وحدد نقطة نهاية تجميع البيانات التي تم إنشاؤها مسبقا.
  5. في علامة التبويب Schema and Transformation، اختر ملف العينة الذي تم تنزيله وانقر فوق Transformation Editor.
  6. في حقل التحويل، أدخل طلب KQL التالي : *source | توسيع TimeGenerated = todatetime(DateTime) | التاريخ والوقت خارج المشروع
  1. انقر فوق "تشغيل" وبعد "تطبيق".
  2. انقر فوق التالي، ثم انقر فوق إنشاء.

ج. تعديل DCR الذي تم إنشاؤه، اكتب سجل مخصص

  1. من مدخل Azure، انتقل إلى Azure قواعد جمع البيانات.
  2. حدد DCR الذي تم إنشاؤه مسبقا، مثل DCR-Option7-HTTPProxyLogs.
  3. في علامة التبويب الموارد ، أدخل خوادم Exchange.
  4. في مصادر البيانات، أضف نوع مصدر البيانات "سجلات نصية مخصصة" وأدخل "C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log" في نمط الملف، "ExchangeHttpProxy_CL" في اسم الجدول. 6.in حقل Transform، أدخل طلب KQL التالي: source | extend TimeGenerated = todatetime(DateTime) | DateTime خارج المشروع
  5. انقر فوق "إضافة مصدر بيانات".

تعيين DCR لجميع خوادم Exchange

إضافة جميع خوادم Exchange إلى DCR

قواعد جمع البيانات - عند استخدام عامل Azure Log Analytics القديم

تكوين السجلات التي سيتم تجميعها

  1. ضمن جزء إعدادات مساحة العمل، حدد جداول، وانقر فوق + إنشاء وانقر فوق سجل مخصص جديد (مستند إلى MMA).
  2. حدد نموذج ملف MessageTracking Sample وانقر فوق Next
  3. حدد نوع Windows وأدخل جميع المسارات التالية C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log، C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log, C:\Program Files\Microsoft\Exchange Server\V15\ Logging\HttpProxy\Oab*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log وC:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log . انقر فوق "التالي".
  4. أدخل ExchangeHttpProxy كاسم جدول وانقر فوق التالي.
  5. انقر فوق حفظ.
  • عامل التثبيت: <قيمة متغيرة متوفرة في وقت التثبيت>

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. يتم توزيع المحللات تلقائيا مع الحل. اتبع الخطوات لإنشاء الاسم المستعار لوظائف Kusto : ExchangeAdminAuditLogs

يتم توزيع المحللات تلقائيا أثناء نشر الحل. إذا كنت تريد التوزيع يدويا، فاتبع الخطوات أدناه

توزيع المحلل اليدوي

1. تنزيل ملف المحلل

أحدث إصدار من ملف ExchangeAdminAuditLogs

2. إنشاء دالة Parser ExchangeAdminAuditLogs

في مستكشف "السجلات" لتحليلات سجل Microsoft Sentinel، انسخ محتوى الملف إلى مستكشف السجل

3. حفظ دالة Parser ExchangeAdminAuditLogs

انقر فوق زر الحفظ. لا توجد معلمة مطلوبة لهذا المحلل. انقر فوق حفظ مرة أخرى.



[مهمل] Okta single Sign-On (باستخدام وظيفة Azure) (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل Okta Single Sign-On (SSO) (باستخدام Azure Function) القدرة على استيعاب سجلات التدقيق والأحداث من واجهة برمجة تطبيقات Okta إلى Microsoft Sentinel. يوفر الموصل رؤية لأنواع السجلات هذه في Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين قدرات المراقبة والتحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Okta_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • Okta API Token: مطلوب رمز مميز لواجهة برمجة تطبيقات Okta. راجع الوثائق لمعرفة المزيد حول واجهة برمجة تطبيقات سجل نظام Okta.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب Okta SSO لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

ملاحظه: تم تحديث هذا الموصل، إذا قمت مسبقا بنشر إصدار سابق، وتريد التحديث، فيرجى حذف Okta Azure Function الموجودة قبل إعادة توزيع هذا الإصدار.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Okta SSO

اتبع هذه الإرشادات لإنشاء رمز مميز لواجهة برمجة التطبيقات.

ملاحظة - لمزيد من المعلومات حول قيود حد المعدل التي تفرضها Okta، يرجى الرجوع إلى الوثائق.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل Okta SSO، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخه من ما يلي)، بالإضافة إلى رمز تخويل Okta SSO API المميز، المتوفر بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

يوفر هذا الأسلوب توزيعا تلقائيا لموصل Okta SSO باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل ورمز واجهة برمجة التطبيقات وURI.

  • استخدم المخطط التالي للقيمة uri : https://<OktaDomain>/api/v1/logs?since= استبدل <OktaDomain> بمجالك. انقر هنا لمزيد من التفاصيل حول كيفية تحديد مساحة اسم مجال Okta. ليست هناك حاجة لإضافة قيمة وقت إلى URI، سيقوم Function App بإلحاق وقت البدء الأولي للسجلات بشكل ديناميكي ب UTC 0:00 لتاريخ UTC الحالي كقيمة وقت ل URI بالتنسيق المناسب.
  • ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.
  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
  2. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل Okta SSO يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Configuration.
  3. في علامة التبويب Application settings، حدد + New application setting.
  4. أضف كل من إعدادات التطبيق الخمسة التالية (5) بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): apiToken workspaceID workspaceKey uri logAnalyticsUri (اختياري)
  • استخدم المخطط التالي للقيمة uri : https://<OktaDomain>/api/v1/logs?since= استبدل <OktaDomain> بمجالك. انقر هنا لمزيد من التفاصيل حول كيفية تحديد مساحة اسم مجال Okta. ليست هناك حاجة لإضافة قيمة وقت إلى URI، سيقوم Function App بإلحاق وقت البدء الأولي للسجلات بشكل ديناميكي ب UTC 0:00 لتاريخ UTC الحالي كقيمة وقت ل URI بالتنسيق المناسب.
  • ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ بالنسبة لبيئة سحابة GovUS Azure، حدد القيمة بالتنسيق التالي: https://< CustomerId.ods.opinsights.azure.us>.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



[مهمل] SentinelOne (باستخدام وظيفة Azure) (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات SentinelOne القدرة على استيعاب كائنات خادم SentinelOne الشائعة مثل التهديدات والوكلاء والتطبيقات والأنشطة والنهج والمجموعات والمزيد من الأحداث في Microsoft Sentinel من خلال واجهة برمجة تطبيقات REST. راجع وثائق واجهة برمجة التطبيقات: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview لمزيد من المعلومات. يمكن الموصل استرداد الحدث لتقييم المخاطر الأمنية المحتملة ومراقبة التعاون وتشخيص مشكلات التكوين واستكشاف الأخطاء وإصلاحها.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SentinelOne_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: مطلوب SentinelOneAPIToken . راجع الوثائق لمعرفة المزيد حول واجهة برمجة التطبيقات على https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهة برمجة تطبيقات SentinelOne لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع والذي يتم نشره كجزء من الحل. لعرض التعليمات البرمجية للدالة في Log Analytics، افتح شفرة Log Analytics/Microsoft Sentinel Logs، وانقر فوق Functions وابحث عن الاسم المستعار SentinelOne وقم بتحميل التعليمات البرمجية للدالة أو انقر هنا. تستغرق الدالة عادة من 10 إلى 15 دقيقة للتنشيط بعد تثبيت/تحديث الحل.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات SentinelOne

اتبع الإرشادات للحصول على بيانات الاعتماد.

  1. سجل الدخول إلى وحدة تحكم إدارة SentinelOne باستخدام بيانات اعتماد المستخدم مسؤول.
  2. في وحدة تحكم الإدارة، انقر فوق الإعدادات.
  3. في طريقة عرض الإعدادات، انقر فوق المستخدمين
  4. انقر فوق مستخدم جديد.
  5. أدخل المعلومات الخاصة بالمستخدم الجديد لوحدة التحكم.
  6. في Role، حدد مسؤول.
  7. انقر فوق حفظ
  8. احفظ بيانات اعتماد المستخدم الجديد لاستخدامها في موصل البيانات.

ملاحظة :- يمكن تفويض الوصول مسؤول باستخدام أدوار مخصصة. يرجى مراجعة وثائق SentinelOne لمعرفة المزيد حول التحكم في الوصول استنادا إلى الدور المخصص.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات SentinelOne، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات تدقيق SentinelOne باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل SentinelOneAPIToken و SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) وانشر. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات تقارير SentinelOne يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

  1. توزيع تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.

  2. بدء تشغيل VS Code. اختر ملف في القائمة الرئيسية وحدد فتح مجلد.

  3. حدد مجلد المستوى الأعلى من الملفات المستخرجة.

  4. اختر الأيقونة Azure في شريط النشاط، ثم في منطقة Azure: الوظائف، اختر الزر Deploy to function app. إذا لم تكن قد سجلت الدخول بالفعل، فاختر أيقونة Azure في شريط النشاط، ثم في Azure: ناحية الوظائف، اختر تسجيل الدخول إلى Azure إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.

  5. قدم المعلومات التالية في المطالبات:

    أ. تحديد مجلد: اختر مجلدا من مساحة العمل أو استعرض للوصول إلى مجلد يحتوي على تطبيق الوظائف.

    ب. حدد Subscription: اختر الاشتراك الذي تريد استخدامه.

    ج. حدد Create new Function App in Azure (لا تختار الخيار Advanced)

    د. أدخل اسما فريدا عالميا لتطبيق الوظائف: اكتب اسما صالحا في مسار URL. يتم التحقق من صحة الاسم الذي تكتبه للتأكد من أنه فريد في دالات Azure. (على سبيل المثال، SOneXXXXX).

    ه. حدد وقت التشغيل: اختر Python 3.11.

    و. حدد موقعا للموارد الجديدة. للحصول على أداء أفضل وتكاليف أقل، اختر نفس المنطقة التي يوجد فيها Microsoft Sentinel.

  6. سيبدأ التوزيع. يتم عرض إعلام بعد إنشاء تطبيق الوظائف وتطبيق حزمة التوزيع.

  7. انتقل إلى مدخل Azure لتكوين Function App.

  8. تكوين تطبيق الوظائف

  9. في Function App، حدد Function App Name وحدد Configuration.

  10. في علامة التبويب Application settings، حدد New application setting.

  11. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)

  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



[مهمل] حماية نقطة نهاية Sophos (باستخدام وظيفة Azure) (باستخدام وظائف Azure)

مدعوم من قبل:Microsoft Corporation

يوفر موصل بيانات Sophos Endpoint Protection القدرة على استيعاب أحداث Sophos في Microsoft Sentinel. راجع وثائق sophos Central مسؤول للحصول على مزيد من المعلومات.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SophosEP_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • بيانات اعتماد/أذونات واجهة برمجة تطبيقات REST: الرمز المميز لواجهة برمجة التطبيقات مطلوب. لمزيد من المعلومات، راجع الرمز المميز لواجهة برمجة التطبيقات

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال بواجهات برمجة تطبيقات Sophos Central لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

ملاحظه: يعتمد موصل البيانات هذا على محلل يستند إلى دالة Kusto للعمل كما هو متوقع SophosEPEvent الذي يتم توزيعه باستخدام Microsoft Sentinel Solution.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات Sophos المركزية

اتبع الإرشادات للحصول على بيانات الاعتماد.

  1. في sophos Central مسؤول، انتقل إلى Global Settings > API Token Management.
  2. لإنشاء رمز مميز جديد، انقر فوق إضافة رمز مميز من الزاوية العلوية اليسرى من الشاشة.
  3. حدد اسم رمز مميز وانقر فوق حفظ. يتم عرض ملخص الرمز المميز لواجهة برمجة التطبيقات لهذا الرمز المميز.
  4. انقر فوق نسخ لنسخ عنوان URL للوصول إلى واجهة برمجة التطبيقات + الرؤوس من قسم ملخص الرمز المميز لواجهة برمجة التطبيقات إلى الحافظة.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل بيانات Sophos Endpoint Protection، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي).

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

استخدم هذا الأسلوب للتوزيع التلقائي لموصل بيانات Sophos Endpoint Protection باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

ملاحظه: ضمن نفس مجموعة الموارد، لا يمكنك مزج تطبيقات Windows Linux في نفس المنطقة. حدد مجموعة الموارد الموجودة بدون تطبيقات Windows فيها أو أنشئ مجموعة موارد جديدة. 3. أدخل عنوان URL للوصول إلى واجهة برمجة تطبيقات Sophos والعناوين وAzureSentinelWorkspaceId وAzureSentinelSharedKey. 4. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه. 5. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل بيانات Sophos Endpoint Protection يدويا باستخدام دالات Azure (التوزيع عبر تعليمة Visual Studio برمجية).

الخطوة 1 - نشر تطبيق الوظائف

ملاحظه: ستحتاج إلى إعداد تعليمة VS البرمجية لتطوير دالة Azure.

  1. قم بتنزيل ملف Azure Function App. استخراج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
  2. اتبع إرشادات التوزيع اليدوي لتطبيق الوظائف لنشر تطبيق وظائف Azure باستخدام VSCode.
  3. بعد النشر الناجح لتطبيق الوظائف، اتبع الخطوات التالية لتكوينه.

الخطوة 2 - تكوين تطبيق الوظائف

  1. انتقل إلى مدخل Azure لتكوين Function App.
  2. في Function App، حدد Function App Name وحدد Configuration.
  3. في علامة التبويب Application settings، حدد New application setting.
  4. أضف كل من إعدادات التطبيق التالية بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri (اختياري)
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



[مهمل] VMware Carbon Black Cloud (باستخدام Azure Function) (باستخدام دالات Azure)

مدعوم من قبل:Microsoft

يوفر موصل VMware Carbon Black Cloud القدرة على استيعاب بيانات Carbon Black في Microsoft Sentinel. يوفر الموصل رؤية لسجلات التدقيق والإعلام والأحداث في Microsoft Sentinel لعرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين قدرات المراقبة والتحقيق.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
CarbonBlackEvents_CL لا لا
CarbonBlackNotifications_CL لا لا
CarbonBlackAuditLogs_CL لا لا

دعم قاعدة جمع البيانات: غير مدعوم حاليا

المتطلبات المسبقه:

  • أذونات Microsoft.Web/sites: مطلوب أذونات القراءة والكتابة إلى دالات Azure لإنشاء Function App. لمزيد من المعلومات، راجع دالات Azure.
  • VMware Carbon Black API Key(s):Carbon Black API و/أو SIEM Level API Key(s) مطلوبة. راجع الوثائق لمعرفة المزيد حول Carbon Black API.
  • مطلوب معرف واجهة برمجة تطبيقات مستوى الوصول إلى Carbon Black API والمفتاح لسجلات التدقيقوالأحداث .
  • مطلوب معرف واجهة برمجة تطبيقات ومفتاح مستوى وصول Carbon Black SIEM لتنبيهات الإعلام .
  • بيانات اعتماد/أذونات Amazon S3 REST API: معرف مفتاح الوصول إلى AWSومفتاح الوصول السري AWSواسم مستودع AWS S3واسم المجلد في مستودع AWS S3 مطلوبة لواجهة برمجة تطبيقات Amazon S3 REST.

إرشادات الإعداد:

ملاحظه: يستخدم هذا الموصل دالات Azure للاتصال ب VMware Carbon Black لسحب سجلاته إلى Microsoft Sentinel. قد يؤدي ذلك إلى تكاليف إضافية لاستيعاب البيانات. تحقق من صفحة تسعير دالات Azure للحصول على التفاصيل.

(خطوة اختيارية) تخزين مساحة العمل ومفتاح (مفاتيح) تخويل واجهة برمجة التطبيقات أو الرمز (الرموز) بشكل آمن في Azure Key Vault. يوفر Azure Key Vault آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.

الخطوة 1 - خطوات التكوين لواجهة برمجة تطبيقات VMware Carbon Black

اتبع هذه الإرشادات لإنشاء مفتاح API.

الخطوة 2 - اختر واحدا من خياري النشر التاليين لنشر الموصل ودالة Azure المقترنة

الهامه: قبل نشر موصل VMware Carbon Black، يكون لديك معرف مساحة العمل والمفتاح الأساسي لمساحة العمل (يمكن نسخهما من ما يلي)، بالإضافة إلى مفتاح (مفاتيح) تخويل VMware Carbon Black API، المتوفر بسهولة.

  • معرف مساحة العمل: <قيمة متغيرة متوفرة في وقت التثبيت>
  • المفتاح الأساسي: <قيمة متغيرة متوفرة في وقت التثبيت>

الخيار 1 - قالب Azure Resource Manager (ARM)

يوفر هذا الأسلوب توزيعا تلقائيا لموصل VMware Carbon Black باستخدام ARM Tempate.

  1. انقر فوق الزر Deploy to Azure أدناه.

    aka.msaka.ms

  2. حدد الاشتراك المفضل ومجموعة الموارد والموقع.

  3. أدخل معرف مساحة العمل ومفتاح مساحة العمل وأنواع السجلات ومعرف (معرفات) واجهة برمجة التطبيقات ومفتاح (مفاتيح) واجهة برمجة التطبيقات ومفتاح مؤسسة Carbon Black واسم مستودع S3 ومعرف مفتاح الوصول إلى AWS ومفتاح الوصول السري ل AWS وDeventPrefixFolderName و AlertPrefixFolderName وتحقق من صحة URI.

  • أدخل URI الذي يتوافق مع منطقتك. يمكن العثور على القائمة الكاملة لعناوين URL لواجهة برمجة التطبيقات هنا
  • يتم تعيين الفاصل الزمني الافتراضي لسحب آخر خمس (5) دقائق من البيانات. إذا كان الفاصل الزمني بحاجة إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك (في ملف function.json، بعد التوزيع) لمنع استيعاب البيانات المتداخلة.
  • يتطلب Carbon Black مجموعة منفصلة من معرف/مفاتيح واجهة برمجة التطبيقات لاستيعاب تنبيهات الإعلام. أدخل قيم معرف/مفتاح واجهة برمجة تطبيقات SIEM أو اتركها فارغة، إذا لم تكن مطلوبة.
  • ملاحظة: إذا كنت تستخدم بيانات سرية Azure Key Vault لأي من القيم أعلاه، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.
  1. ضع علامة على خانة الاختيار المسماة أوافق على الشروط والأحكام المذكورة أعلاه.
  2. انقر فوق شراء للنشر.

الخيار 2 - النشر اليدوي لوظائف Azure

استخدم الإرشادات التالية خطوة بخطوة لنشر موصل VMware Carbon Black يدويا باستخدام دالات Azure.

  1. إنشاء تطبيق الوظائف

  2. من مدخل Azure، انتقل إلى Function App، وحدد + Add.

  3. في علامة التبويب Basics، تأكد من تعيين مكدس وقت التشغيل إلى Powershell Core.

  4. في علامة التبويب Hosting، تأكد من تحديد نوع خطة Consumption (Serverless ).

  5. قم بإجراء تغييرات تكوين أخرى مفضلة، إذا لزم الأمر، ثم انقر فوق إنشاء.

  6. استيراد التعليمات البرمجية لتطبيق الوظائف

  7. في Function App الذي تم إنشاؤه حديثا، حدد Functions في الجزء الأيمن وانقر فوق + Add.

  8. حدد مشغل المؤقت.

  9. أدخل اسم دالة فريدا وقم بتعديل جدول cron، إذا لزم الأمر. يتم تعيين القيمة الافتراضية لتشغيل Function App كل 5 دقائق. (ملاحظة: يجب أن يتطابق مشغل المؤقت مع timeInterval القيمة أدناه لمنع تداخل البيانات)، انقر فوق إنشاء.

  10. انقر فوق Code + Test في الجزء الأيمن.

  11. انسخ Function App Code والصق في محرر Function App run.ps1 .

  12. انقر فوق حفظ.

  13. تكوين تطبيق الوظائف

  14. في Function App، حدد Function App Name وحدد Configuration.

  15. في علامة التبويب Application settings، حدد + New application setting.

  16. أضف كل من إعدادات التطبيق التالية من ثلاثة عشر إلى ستة عشر (13-16) بشكل فردي، مع قيم السلسلة الخاصة بها (حساسة لحالة الأحرف): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolder اسم AlertPrefixFolderName AWSAccessKeyId AWSSSecretAccessKey SIEMapiId (اختياري) SIEMapiKey (اختياري) logAnalyticsUri (اختياري)

  • أدخل URI الذي يتوافق مع منطقتك. يمكن العثور على القائمة الكاملة لعناوين URL لواجهة برمجة التطبيقات هنا. uri يجب أن تتبع القيمة المخطط التالي: https://<API URL>.conferdeploy.net - ليست هناك حاجة لإضافة لاحقة وقت إلى URI، سيقوم Function App بإلحاق قيمة الوقت ديناميكيا ب URI بالتنسيق المناسب.
  • timeInterval قم بتعيين (بالدقائق) إلى القيمة الافتراضية 5 ل لتتوافق مع مشغل المؤقت الافتراضي لكل 5 دقيقة. إذا كان الفاصل الزمني بحاجة إلى تعديل، فمن المستحسن تغيير Function App Timer Trigger وفقا لذلك لمنع استيعاب البيانات المتداخلة.
  • يتطلب Carbon Black مجموعة منفصلة من معرف/مفاتيح واجهة برمجة التطبيقات لاستيعاب تنبيهات الإعلام. SIEMapiId أدخل القيم وSIEMapiKey، إذا لزم الأمر، أو احذفها، إذا لم يكن مطلوبا.
  • ملاحظة: إذا كنت تستخدم Azure Key Vault، فاستخدم@Microsoft.KeyVault(SecretUri={Security Identifier})المخطط بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.
  • استخدم logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل للسحابة المخصصة. على سبيل المثال، بالنسبة للسحابة العامة، اترك القيمة فارغة؛ Azure بيئة سحابة GovUS، حدد القيمة بالتنسيق التالي:https://<CustomerId>.ods.opinsights.azure.us
  1. بمجرد إدخال جميع إعدادات التطبيق، انقر فوق حفظ.



أحداث مسؤول مستعرض جزيرة Enterprise (قديم)

مدعوم من قبل:جزيرة

هذا موصل قديم ولم يعد مستحسنا. يرجى استخدام موصل البيانات V2 لمستعرض جزيرة Enterprise بدلا من ذلك، والذي يدعم أحداث المستخدم والمسؤول والنظام داخل موصل واحد.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Island_Admin_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • مفتاح واجهة برمجة تطبيقات الجزيرة: مطلوب مفتاح واجهة برمجة تطبيقات الجزيرة.

إرشادات الإعداد:

توصيل الجزيرة Microsoft Sentinel

هذا موصل قديم. للحصول على إرشادات الإعداد الكامل، راجع وثائق الجزيرة الرسمية (يتطلب تسجيل الدخول إلى وحدة تحكم إدارة الجزيرة).



أحداث مستخدم مستعرض جزيرة Enterprise (قديم)

مدعوم من قبل:جزيرة

هذا موصل قديم ولم يعد مستحسنا. يرجى استخدام موصل البيانات V2 لمستعرض جزيرة Enterprise بدلا من ذلك، والذي يدعم أحداث المستخدم والمسؤول والنظام داخل موصل واحد.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Island_User_CL نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

المتطلبات المسبقه:

  • مفتاح واجهة برمجة تطبيقات الجزيرة: مطلوب مفتاح واجهة برمجة تطبيقات الجزيرة.

إرشادات الإعداد:

توصيل الجزيرة Microsoft Sentinel

هذا موصل قديم. للحصول على إرشادات الإعداد الكامل، راجع وثائق الجزيرة الرسمية (يتطلب تسجيل الدخول إلى وحدة تحكم إدارة الجزيرة).



أحداث الأمان عبر العامل القديم

مدعوم من قبل:Microsoft Corporation

يمكنك دفق جميع أحداث الأمان من أجهزة Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Windows. يمكنك هذا الاتصال من عرض لوحات المعلومات وإنشاء تنبيهات مخصصة وتحسين التحقيق. يمنحك هذا المزيد من التفاصيل حول شبكة مؤسستك ويحسن قدرات عملية الأمان الخاصة بك. لمزيد من المعلومات، راجع وثائق Microsoft Sentinel.

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityEvent نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Microsoft Defender المستندة إلى الاشتراك للسحابة (قديم)

مدعوم من قبل:Microsoft Corporation

Microsoft Defender للسحابة هي أداة إدارة أمان تسمح لك بالكشف عن التهديدات والاستجابة لها بسرعة عبر أحمال العمل Azure والمختلطة ومتعددة السحابات. يسمح لك هذا الموصل ببث تنبيهات الأمان من Microsoft Defender for Cloud إلى Microsoft Sentinel، حتى تتمكن من عرض بيانات Defender في المصنفات، والاستعلام عنها لإنتاج تنبيهات، والتحقيق في الحوادث والاستجابة لها.

لمزيد من المعلومات>

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
SecurityAlert نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

Syslog عبر Legacy Agent

مدعوم من قبل:Microsoft Corporation

Syslog هو بروتوكول تسجيل أحداث شائع Linux. سترسل التطبيقات رسائل قد يتم تخزينها على الجهاز المحلي أو تسليمها إلى جامع Syslog. عند تثبيت عامل Linux، يقوم بتكوين البرنامج الخفي Syslog المحلي لإعادة توجيه الرسائل إلى العامل. ثم يرسل العامل الرسالة إلى مساحة العمل.

التعرف على المزيد >

جدول (جداول) تحليلات السجل:

الجدول دعم DCR استيعاب البحيرة فقط
Syslog نعم نعم

دعم قاعدة جمع البيانات:تحويل مساحة العمل DCR

الخطوات التالية

لمزيد من المعلومات، اطلع على:

  • Last updated on