تتبع ترحيل Microsoft Azure Sentinel باستخدام كتاب عمل

  • مقالة

نظرًا إلى أن مركز عمليات الأمان الخاص بمؤسستك يعالج كميات متزايدة من البيانات، فمن الضروري تخطيط حالة التوزيع ومراقبتها. بينما يمكنك تتبع عملية الترحيل الخاصة بك باستخدام أدوات عامة مثل Microsoft Project أو Microsoft Excel أو Teams أو Azure DevOps، فإن هذه الأدوات ليست خاصة بتتبع ترحيل SIEM. لمساعدتك في التتبع، نقدم كتابًا مخصصًا في Microsoft Azure Sentinel اسمه Microsoft Population and Migration .

يساعدك المصنف على ذلك:

  • تصور تقديم الترحيل
  • توزيع مصادر البيانات وتعقبها
  • توزيع ومراقبة قواعد التحليلات والحوادث
  • توزيع المصنفات واستخدامها
  • توزيع وأداء التشغيل الآلي
  • توزيع وتخصيص التحليلات السلوكية للمستخدم والكيان (U E B A)

تصف هذه المقالة كيفية تتبع انتقالك باستخدام كتاب عمل Microsoft Azure Sentinel Provision and Migration ، وكيفية تخصيص وإدارة دليل العمل، وكيفية استخدام علامات تبويب العمل لنشر ومراقبة موصلات البيانات والتحليلات والحوادث ومصنف وقواعد الأتمتة وU E B A وإدارة البيانات. تعرف على المزيد حول كيفية استخدام كتب عمل Azure Monitor في Microsoft Azure Sentinel.

توزيع محتوى المصنف وعرضه

  1. في مدخل Microsoft Azure حدد Microsoft Azure Sentinel ثم حدد المصنف .
  2. من شريط البحث، ابحث عن migration.
  3. من نتائج البحث، حدد Microsoft Azure Sentinel Posproduction and Migration workbook واختر Save . توزع Microsoft Azure Sentinel المصنف وتحفظ المصنف في بيئتك.
  4. لعرض المصنف، اختر Open Saved workbook .

توزيع قائمة المشاهدة

  1. في Microsoft Azure Sentinel GitHub repository ، حدد المجلد DeploymentandMigration وحدد Deploy to Azure لبدء توزيع القالب في Azure.
  2. قم بتوفير مجموعة موارد Microsoft Azure Sentinel واسم مساحة العمل. لقطة شاشة لتوزيع قائمة المراقبة على Azure.
  3. حدد "Review and create" .
  4. بعد التحقق من صحة المعلومات، حدد أنشئ .

تحديث قائمة المراقبة بإجراءات الانتشار والهجرة

هذه الخطوة حاسمة في عملية إعداد التتبع. إذا تخطيت هذه الخطوة، فلن يعكس الدفتر عناصر التتبع.

تحديث قائمة المراقبة بإجراءات الانتشار والترحيل:

  1. في مدخل Microsoft Azure حدد Microsoft Azure Sentinel ثم حدد قائمة المشاهدة .
  2. حدد موقع قائمة المراقبة مع التوزيع الاسم المستعار.
  3. حدد قائمة المراقبة، ثم حدد تحديث قائمة المشاهدة > حرر عناصر قائمة المراقبة في أسفل اليمين. لقطة شاشة لتحديث عناصر قائمة المراقبة بإجراءات التوزيع والترحيل.
  4. توفير المعلومات المتعلقة بالإجراءات اللازمة للانتشار والترحيل، واختيار حفظ .

يمكنك الآن عرض قائمة المشاهدة ضمن كتاب عمل تعقب الترحيل. تعلم كيفية إدارة قوائم المشاهدة .

بالإضافة إلى ذلك، قد يقوم فريقك بتحديث أو إكمال المهام أثناء عملية التوزيع. لمعالجة هذه التغييرات، يمكنك تحديث الإجراءات الحالية أو إضافة إجراءات جديدة أثناء تحديد حالات الاستخدام الجديدة أو تحديد متطلبات جديدة. لتحديث الإجراءات أو إضافتها، قم بتحرير قائمة المراقبة التوزيع التي قمت بـ توزيعها سابقًا . لتبسيط العملية، حدد قائمة مراقبة مشاهدة تحرير في أسفل اليسار لفتح قائمة المشاهدة مباشرة من المصنف.

عرض حالة النشر

لمشاهدة سرعة تقدم التوزيع، في Microsoft Azure Sentinel Provision and Migration workbook، اختر التوزيع وانتقل لأسفل لتحديد موقع ملخص التقدم . وتبين هذه المنطقة حالة التوزيع، بما في ذلك المعلومات التالية:

  • بيانات التقارير عن الجداول
  • عدد الجداول التي تقدم بيانات
  • عدد السجلات المبلغ عنها والجداول التي تُبلغ عن بيانات السجل
  • عدد القواعد الممكنة مقابل القواعد غير المطبقة
  • توزيع المصنفات الموصى بها
  • مجموع عدد المصنفات الموزعة
  • العدد الإجمالي لدليل المبادئ الموزعة

توزيع موصلات البيانات ومراقبتها

لمراقبة الموارد الموزعة وتوزيع موصلات جديدة، في Microsoft Azure Sentinel Provision and Migration workbook، حدد موصلات البيانات > مراقب . قوائم عرض المراقبة :

  • اتجاهات الاستيعابات الحالية
  • الجداول التي تتناول البيانات
  • مقدار البيانات التي يقدمها كل جدول
  • تقارير نقاط النهاية مع وكيل مراقبة Microsoft
  • تقارير نقاط النهاية مع عامل مراقبة Azure
  • تقارير نقاط النهاية مع كل من عملاء MMA و AMA
  • قواعد جمع البيانات لدى مجموعة الموارد والأجهزة المرتبطة بالقواعد
  • صحة موصل البيانات (التغيرات والفشل)
  • السجلات الصحية ضمن النطاق الزمني المحدد

لقطة شاشة لطريقة عرض شاشة مراقبة علامة تبويب موصلات البيانات الخاصة بالمصنف.

لتكوين موصل البيانات:

  1. حدد التكوين العرض.
  2. حدد الزر باسم الموصل الذي تريد تكوينه.
  3. قم بتكوين الموصل في شاشة حالة الموصل التي تفتح. إذا لم تتمكن من العثور على موصل تحتاجه، حدد اسم الموصل لفتح معرض الموصل أو معرض الحلول. لقطة شاشة لطريقة عرض تكوين المصنف.

توزيع ورصد التحليلات والحوادث

بمجرد الإبلاغ عن البيانات في مساحة العمل، يمكنك الآن تكوين قواعد التحليلات والمراقبة. في مصنف Microsoft Azure Sentinel Deployment and Migration، حدد Analytics لعرض جميع قوالب وقوائم القواعد الموزعة. يشير هذا الرأي إلى القواعد المستخدمة حاليًا وعدد المرات التي تولد فيها القواعد الحوادث.

لقطة شاشة لعلامة تبويب تحليلات المصنف.

إذا كنت بحاجة إلى مزيد من التغطية، فحدد مراجعة تغطية MITRE أسفل الجدول الموجود على اليسار. استخدم هذا الخيار لتحديد المناطق التي تحظى بمزيد من التغطية والقواعد التي يتم توزيعها، في أي مرحلة من مراحل مشروع الترحيل.

لقطة شاشة لمشاهدة تغطية MITRE في المصنف.

بمجرد توزيع قواعد التحليلات المطلوبة وتكوين موصل منتج Defender لإرسال التنبيهات، يمكنك مراقبة إنشاء الحوادث وتكرارها ضمن ملخص التوزيع > للتقدم. تعرض هذه المنطقة مقاييس تتعلق بتوليد التنبيه حسب المنتج والعنوان والتصنيف، للإشارة إلى صحة SOC وأي التنبيهات تتطلب أكبر قدر من الاهتمام. إذا كانت التنبيهات تولد الكثير من الحجم، فارجع إلى علامة التبويب التحليلية لتعديل المنطق.

لقطة شاشة لملخص التقدم المحرز في إطار علامة تبويب التحليلات الخاصة بالمصنف.

توزيع المصنفات واستخدامها

لتصور المعلومات المتعلقة بابتلاع البيانات والاكتشافات التي تقوم بها Microsoft Azure Sentinel، في المصنف Microsoft Sentinel Provision and Migration ، حدد كتب العمل . على غرار موصلات البيانات علامة تبويب، يمكنك استخدام مراقبة و تكوين عرض لعرض معلومات المراقبة والتكوين.

إليك بعض المهام المفيدة التي يمكنك أداؤها في علامة التبويب للمصنفات :

  • لعرض قائمة بجميع المصنفات في البيئة وعدد المصنفات التي يتم توزيعها، حدد مراقبة.

  • لعرض مصنف معين داخل مصنف Microsoft Azure Sentinel Deployment and Migration ، حدد مصنفًا ثم حدد فتح المصنف المحدد .

    لقطة شاشة لاختيار مصنف في علامة تبويب مصنف.

  • إذا لم تكن قد وزعت المصنفات بعد، فحدد تكوين لعرض قائمة المصنفات شائعة الاستخدام والموصى بها. إذا لم يكن المصنف مدرجًا، فحدد الانتقال إلى معرض المصنفات أو الانتقال إلى مركز المحتوى لتوزيع المصنف ذي الصلة.

    لقطة شاشة لمشاهدة مصنف من علامة تبويب المصنف.

توزيع ومراقبة أدلة المبادئ وقواعد التشغيل التلقائي

بمجرد تكوين ابتلاع البيانات والاكتشافات والتصورات، يمكنك الآن النظر في الأتمتة. في مصنف Microsoft Azure Sentinel Provision and Migration ، حدد الأتمتة لعرض المصنفات المنشورة، ومعرفة المصنفات المرتبطة حاليًا بقاعدة التشغيل الآلي. وفي حالة وجود قواعد للتشغيل الآلي، يسلط الدليل الضوء على المعلومات التالية المتعلقة بكل قاعدة:

  • الاسم
  • الحالة
  • الإجراء أو الإجراءات المنصوص عليها في القاعدة
  • آخر تاريخ تم تعديل القاعدة والمستخدم الذي قام بتعديل القاعدة
  • التاريخ الخاص بإنشاء القاعدة

لمشاهدة وتوزيع واختبار التشغيل الآلي داخل القسم الحالي من المصنف، اختر توزيع موارد التشغيل الآلي في أسفل اليسار.

تعرف على قدرات Microsoft Azure Sentinel SOAR للمصنفات و لقواعد الأتمتة .

لقطة شاشة لعلامة تبويب الأتمتة في المصنف

توزيع ومراقبة U E B A

نظرًا إلى أن الإبلاغ عن البيانات والاكتشافات تحدث على مستوى الكيان، فمن الضروري مراقبة سلوك الكيان واتجاهاته. لتمكين ميزة U E B A داخل Microsoft Azure Sentinel، في المصنف Microsoft Azure Sentinel Position and Migration ، حدد UEBA . يمكنك هنا تخصيص الجداول الزمنية للكيان لصفحات الكيان، وعرض الجداول المتعلقة بالكيان المزودة بالبيانات.

لقطة شاشة لعلامة التبويب U E B A الخاصة بالمصنف.

لكي يتم تمكين U E B A:

  1. اختر مكّن UEBA أعلى قائمة الجداول.
  2. لتمكين U E B A، حدد تشغيل .
  3. حدد مصادر البيانات التي تريد استخدامها لتكوين الرؤى.
  4. اختر ⁧⁩تطبيق⁧⁩.

بعد تمكين U E B A، يمكنك مراقبة Microsoft Azure Sentinel وتأكد من أنه يقوم بإنشاء بيانات U E B A.

لتخصيص الجدول الزمني:

  1. حدد تخصيص المخطط الزمني للكيان أعلى قائمة الجداول.
  2. أنشئ عنصرًا مخصصًا، أو حدد أحد القوالب الجاهزة.
  3. لتوزيع القالب وإكمال المعالج، حدد إنشاء.

للمزيد حول U E B A أو تعرف على كيفية تخصيص المخطط الزمني.

تكوين وإدارة دورة حياة البيانات

عند التوزيع أو الترحيل إلى Microsoft Azure Sentinel، من الضروري إدارة استخدام السجلات الواردة ودورة حياته. للمساعدة في ذلك، في مصنف Microsoft Azure Sentinel Deployment and Migration ، حدد إدارة البيانات لعرض تكوين الاحتفاظ بالجدول وأرشفته.

لقطة شاشة لعلامة تبويب إدارة البيانات الخاصة بالمصنف.

يمكنك عرض معلومات بخصوص:

  • الجداول المكونة لعرض السجل الأساسي
  • الجداول المهيأة لاستيعاب مستوى التحليلات
  • الجداول التي تم تكوينها لتتم أرشفتها
  • الجداول على مساحة العمل الافتراضية للاحتفاظ

لتعديل نهج الاستبقاء الحالي الخاص بالجداول:

  1. حدد طريقة العرض جداول الاستبقاء الافتراضية .
  2. حدد الجدول الذي تريد تعديله وحدد تحديث الاحتفاظ . يمكنك تحرير المعلومات الآتية:
    • استبقاء البيانات الحالي في مساحة العمل
    • استبقاء البيانات الحالي في الأرشيف
    • إجمالي عدد الأيام التي سوف تتواجد فيها البيانات في البيئة
  3. قم بتحرير قيمة TotalRetention لتعيين إجمالي عدد الأيام الجديد الذي يجب أن تتواجد فيه البيانات داخل البيئة.

يتم حساب قيمة الاحتفاظ بالأرشيف عن طريق طرح قيمة إجمالي الاحتفاظ من قيمة الاحتفاظ التفاعلي . إذا كنت بحاجة إلى ضبط استبقاء البيانات بمساحة العمل، فلن يؤثر التغيير على الجداول التي تتضمن أرشيفات وبيانات مكونة. إذا قمت بتحرير قيمة الاحتفاظ التفاعلي ولم تتغير قيمة إجمالي الاحتفاظ ، فإن Azure Log Analytics يعدل الاحتفاظ بالأرشيف لتعويض التغيير.

إذا كنت تفضل إجراء تغييرات في واجهة المستخدم، فحدد تحديث الاحتفاظ في واجهة المستخدم لفتح الشفرة ذات الصلة.

تعرف على إدارة دورة حياة البيانات .

تمكين نصائح وإرشادات الترحيل

للمساعدة في عملية التوزيع والترحيل، يتضمن المصنف تلميحات تشرح كيفية استخدام علامات التبويب المختلفة والارتباطات إلى الموارد ذات الصلة. تستند التلميحات إلى وثائق ترحيل Microsoft Azure Sentinel وهي ذات صلة بـ SIEM الحالي. لتمكين النصائح والإرشادات، في مصنف Microsoft Azure Sentinel Deployment and Migration ، أعلى اليسار، عيّن MigrationTips و التعليمات على نعم .

لقطة شاشة لتلميحات وإرشادات ترحيل المصنف.

الخطوات التالية

في هذه المقالة، تعلمت كيفية تتبع الترحيل باستخدام مصنف Microsoft Azure Sentinel Deployment and Migration .