تتبع ترحيل Microsoft Azure Sentinel باستخدام كتاب عمل

نظرا لأن مركز عمليات الأمان (SOC) الخاص بمؤسستك يعالج كميات متزايدة من البيانات، فمن الضروري تخطيط حالة التوزيع ومراقبتها. بينما يمكنك تعقب عملية الترحيل باستخدام أدوات عامة مثل Microsoft Project أو Microsoft Excel أو Microsoft Teams أو Azure DevOps، فإن هذه الأدوات ليست خاصة بمعلومات الأمان وتعقب ترحيل إدارة الأحداث (SIEM). لمساعدتك على التتبع، نقدم مصنفا مخصصا في Microsoft Sentinel يسمى Microsoft Sentinel Deployment and Migration.

يساعدك المصنف على ذلك:

  • تصور تقديم الترحيل
  • توزيع مصادر البيانات وتعقبها
  • توزيع ومراقبة قواعد التحليلات والحوادث
  • توزيع المصنفات واستخدامها
  • توزيع وأداء التشغيل الآلي
  • توزيع وتخصيص التحليلات السلوكية للمستخدم والكيان (U E B A)

تصف هذه المقالة كيفية تتبع انتقالك باستخدام كتاب عمل Microsoft Azure Sentinel Provision and Migration ، وكيفية تخصيص وإدارة دليل العمل، وكيفية استخدام علامات تبويب العمل لنشر ومراقبة موصلات البيانات والتحليلات والحوادث ومصنف وقواعد الأتمتة وU E B A وإدارة البيانات. تعرف على المزيد حول كيفية استخدام كتب عمل Azure Monitor في Microsoft Azure Sentinel.

توزيع محتوى المصنف وعرضه

للحصول على المصنف، قم أولا بتثبيت العنصر المستقل من مركز المحتوى في Microsoft Sentinel.

  1. في مركز محتوى Microsoft Sentinel، قم بتصفية المحتوى المدرج حسب مصنفات نوع = المحتوى، ثم أدخل الترحيل في شريط البحث.

  2. من نتائج البحث، حدد مصنف Microsoft Sentinel Deployment and Migration ثم حدد Install. توزع Microsoft Azure Sentinel المصنف وتحفظ المصنف في بيئتك.

  3. في Microsoft Sentinel، ضمن Threat management، حدد Workbooks>Templates.

  4. حدد مصنف Microsoft Sentinel Deployment and Migration ونموذج View.

توزيع قائمة المشاهدة

الخطوة التالية هي نشر قائمة المشاهدة ذات الصلة من مستودع Microsoft Sentinel GitHub.

  1. في Microsoft Azure Sentinel GitHub repository ، حدد المجلد DeploymentandMigration وحدد Deploy to Azure لبدء توزيع القالب في Azure.
  2. قم بتوفير مجموعة موارد Microsoft Azure Sentinel واسم مساحة العمل. لقطة شاشة لتوزيع قائمة المراقبة على Azure.
  3. حدد مراجعة وإنشاء.
  4. بعد التحقق من صحة المعلومات، حدد أنشئ .

تحديث قائمة المراقبة بإجراءات الانتشار والهجرة

هذه الخطوة حاسمة في عملية إعداد التتبع. إذا تخطيت هذه الخطوة، فلن يعكس المصنف العناصر المراد تعقبها.

تحديث قائمة المراقبة بإجراءات الانتشار والترحيل:

  1. في مدخل Azure أو Microsoft Defender، حدد Microsoft Sentinel ثم حدد Watchlist.
  2. حدد قائمة المشاهدة باستخدام الاسم المستعار للنشر.
  3. ثم حدد تحديث قائمة > المشاهدة تحرير عناصر قائمة المشاهدة.
  4. توفير المعلومات للإجراءات اللازمة للتوزيع والترحيل.  لقطة شاشة لتحديث عناصر قائمة المراقبة بإجراءات التوزيع والترحيل.
  5. حدد حفظ.

يمكنك الآن عرض قائمة المشاهدة ضمن كتاب عمل تعقب الترحيل. تعلم كيفية إدارة قوائم المشاهدة .

بالإضافة إلى ذلك، قد يقوم فريقك بتحديث أو إكمال المهام أثناء عملية التوزيع. لمعالجة هذه التغييرات، قم بتحديث الإجراءات الموجودة أو إضافة إجراءات جديدة أثناء تحديد حالات الاستخدام الجديدة أو تعيين متطلبات جديدة. لتحديث الإجراءات أو إضافتها، قم بتحرير قائمة مراقبة النشر التي قمت بنشرها. لتبسيط العملية، في المصنف، حدد تحرير قائمة مراقبة النشر لفتح قائمة المشاهدة مباشرة من المصنف.

عرض حالة النشر

لمشاهدة سرعة تقدم التوزيع، في Microsoft Azure Sentinel Provision and Migration workbook، اختر التوزيع وانتقل لأسفل لتحديد موقع ملخص التقدم . وتبين هذه المنطقة حالة التوزيع، بما في ذلك المعلومات التالية:

  • بيانات التقارير عن الجداول
  • عدد الجداول التي تقدم بيانات
  • عدد السجلات المبلغ عنها والجداول التي تُبلغ عن بيانات السجل
  • عدد القواعد الممكنة مقابل القواعد غير المطبقة
  • توزيع المصنفات الموصى بها
  • مجموع عدد المصنفات الموزعة
  • العدد الإجمالي لدليل المبادئ الموزعة

توزيع موصلات البيانات ومراقبتها

لمراقبة الموارد الموزعة وتوزيع موصلات جديدة، في Microsoft Azure Sentinel Provision and Migration workbook، حدد موصلات البيانات > مراقب . قوائم عرض المراقبة :

  • اتجاهات الاستيعابات الحالية
  • الجداول التي تتناول البيانات
  • مقدار البيانات التي يقدمها كل جدول
  • تقارير نقاط النهاية باستخدام عامل Azure Monitor (AMA)
  • قواعد جمع البيانات لدى مجموعة الموارد والأجهزة المرتبطة بالقواعد
  • صحة موصل البيانات (التغيرات والفشل)
  • السجلات الصحية ضمن النطاق الزمني المحدد

لقطة شاشة لطريقة عرض شاشة مراقبة علامة تبويب موصلات البيانات الخاصة بالمصنف.

لتكوين موصل البيانات:

  1. حدد التكوين العرض.
  2. حدد الزر باسم الموصل الذي تريد تكوينه.
  3. قم بتكوين الموصل في شاشة حالة الموصل التي تفتح. إذا لم تتمكن من العثور على موصل تحتاجه، حدد اسم الموصل لفتح معرض الموصل أو معرض الحلول. لقطة شاشة لطريقة عرض تكوين المصنف.

توزيع ورصد التحليلات والحوادث

عند الإبلاغ عن البيانات في مساحة العمل، قم بتكوين قواعد التحليلات ومراقبتها. في مصنف Microsoft Sentinel Deployment and Migration ، حدد علامة التبويب Analytics لعرض جميع قوالب وقوائم القواعد المنشورة. يشير هذا الرأي إلى القواعد المستخدمة حاليًا وعدد المرات التي تولد فيها القواعد الحوادث.

لقطة شاشة لعلامة تبويب تحليلات المصنف.

إذا كنت بحاجة إلى مزيد من التغطية، فحدد مراجعة تغطية MITRE أسفل الجدول الموجود على اليسار. استخدم هذا الخيار لتحديد المناطق التي تحظى بمزيد من التغطية والقواعد التي يتم توزيعها، في أي مرحلة من مراحل مشروع الترحيل.

لقطة شاشة لمشاهدة تغطية MITRE في المصنف.

عند نشر قواعد التحليلات وتكوين موصل منتج Defender لإرسال التنبيهات، ومراقبة إنشاء الحوادث وتكرارها ضمن ملخص التوزيع > للتقدم. تعرض هذه المنطقة مقاييس تتعلق بتوليد التنبيه حسب المنتج والعنوان والتصنيف، للإشارة إلى صحة SOC وأي التنبيهات تتطلب أكبر قدر من الاهتمام. إذا كانت التنبيهات تولد الكثير من الحجم، فارجع إلى علامة التبويب التحليلية لتعديل المنطق.

لقطة شاشة لملخص التقدم المحرز في إطار علامة تبويب التحليلات الخاصة بالمصنف.

توزيع المصنفات واستخدامها

لتصور المعلومات المتعلقة بابتلاع البيانات والاكتشافات التي تقوم بها Microsoft Azure Sentinel، في المصنف Microsoft Sentinel Provision and Migration ، حدد كتب العمل . على غرار علامة التبويب Data Connectors، استخدم طرق العرض Monitor and Configure لعرض معلومات المراقبة والتكوين.

فيما يلي بعض المهام المفيدة التي يجب تنفيذها في علامة التبويب "المصنفات ":

  • لعرض قائمة بجميع المصنفات في البيئة وعدد المصنفات التي يتم توزيعها، حدد مراقبة.

  • لعرض مصنف معين داخل مصنف Microsoft Azure Sentinel Deployment and Migration ، حدد مصنفًا ثم حدد فتح المصنف المحدد .

     لقطة شاشة لاختيار مصنف في علامة تبويب مصنف.

  • إذا لم تكن قد وزعت المصنفات بعد، فحدد تكوين لعرض قائمة المصنفات شائعة الاستخدام والموصى بها. إذا لم يكن المصنف مدرجًا، فحدد الانتقال إلى معرض المصنفات أو الانتقال إلى مركز المحتوى لتوزيع المصنف ذي الصلة.

     لقطة شاشة لمشاهدة مصنف من علامة تبويب المصنف.

توزيع ومراقبة أدلة المبادئ وقواعد التشغيل التلقائي

عند تكوين استيعاب البيانات والكشف عنها والمرئيات، يمكنك الآن النظر في الأتمتة. في مصنف Microsoft Azure Sentinel Provision and Migration ، حدد الأتمتة لعرض المصنفات المنشورة، ومعرفة المصنفات المرتبطة حاليًا بقاعدة التشغيل الآلي. وفي حالة وجود قواعد للتشغيل الآلي، يسلط الدليل الضوء على المعلومات التالية المتعلقة بكل قاعدة:

  • الاسم
  • ‏الحالة
  • الإجراء أو الإجراءات المنصوص عليها في القاعدة
  • آخر تاريخ تم تعديل القاعدة والمستخدم الذي قام بتعديل القاعدة
  • التاريخ الخاص بإنشاء القاعدة

لمشاهدة وتوزيع واختبار التشغيل الآلي داخل القسم الحالي من المصنف، اختر توزيع موارد التشغيل الآلي في أسفل اليسار.

تعرف على قدرات Microsoft Azure Sentinel SOAR للمصنفات و لقواعد الأتمتة .

لقطة شاشة لعلامة تبويب الأتمتة في المصنف

توزيع ومراقبة U E B A

نظرًا إلى أن الإبلاغ عن البيانات والاكتشافات تحدث على مستوى الكيان، فمن الضروري مراقبة سلوك الكيان واتجاهاته. لتمكين ميزة U E B A داخل Microsoft Azure Sentinel، في المصنف Microsoft Azure Sentinel Position and Migration ، حدد UEBA . يمكنك هنا تخصيص الجداول الزمنية للكيان لصفحات الكيان، وعرض الجداول المتعلقة بالكيان المزودة بالبيانات.

 لقطة شاشة لعلامة التبويب U E B A الخاصة بالمصنف.

لكي يتم تمكين U E B A:

  1. اختر مكّن UEBA أعلى قائمة الجداول.
  2. لتمكين U E B A، حدد تشغيل .
  3. حدد مصادر البيانات التي تريد استخدامها لتكوين الرؤى.
  4. حدد تطبيق.

بعد تمكين U E B A، قم بمراقبة وتأكد من أن Microsoft Sentinel يقوم بإنشاء بيانات U E B A.

لتخصيص الجدول الزمني:

  1. حدد تخصيص المخطط الزمني للكيان أعلى قائمة الجداول.
  2. أنشئ عنصرًا مخصصًا، أو حدد أحد القوالب الجاهزة.
  3. لتوزيع القالب وإكمال المعالج، حدد إنشاء.

للمزيد حول U E B A أو تعرف على كيفية تخصيص المخطط الزمني.

تكوين وإدارة دورة حياة البيانات

عند التوزيع أو الترحيل إلى Microsoft Azure Sentinel، من الضروري إدارة استخدام السجلات الواردة ودورة حياته. في مصنف Microsoft Sentinel Deployment and Migration ، حدد Data Management لعرض وتكوين استبقاء الجدول والأرشفة.

 لقطة شاشة لعلامة تبويب إدارة البيانات الخاصة بالمصنف.

عرض المعلومات المتعلقة ب:

  • الجداول المكونة لعرض السجل الأساسي
  • الجداول المهيأة لاستيعاب مستوى التحليلات
  • الجداول التي تم تكوينها لتتم أرشفتها
  • الجداول على مساحة العمل الافتراضية للاحتفاظ

لتعديل نهج الاستبقاء الحالي الخاص بالجداول:

  1. حدد طريقة العرض جداول الاستبقاء الافتراضية .
  2. حدد الجدول الذي تريد تعديله وحدد تحديث الاحتفاظ . قم بتحرير المعلومات التالية حسب الحاجة:
    • استبقاء البيانات الحالي في مساحة العمل
    • استبقاء البيانات الحالي في الأرشيف
    • إجمالي عدد الأيام التي تعيش فيها البيانات في البيئة
  3. قم بتحرير قيمة TotalRetention لتعيين إجمالي عدد الأيام الجديد الذي يجب أن تتواجد فيه البيانات داخل البيئة.

يتم حساب قيمة الاحتفاظ بالأرشيف عن طريق طرح قيمة إجمالي الاحتفاظ من قيمة الاحتفاظ التفاعلي . إذا كنت بحاجة إلى ضبط استبقاء البيانات بمساحة العمل، فلن يؤثر التغيير على الجداول التي تتضمن أرشيفات وبيانات مكونة. إذا قمت بتحرير قيمة الاحتفاظ التفاعلي ولم تتغير قيمة إجمالي الاحتفاظ ، فإن Azure Log Analytics يعدل الاحتفاظ بالأرشيف لتعويض التغيير.

إذا كنت تفضل إجراء تغييرات في واجهة المستخدم، فحدد تحديث الاستبقاء في واجهة المستخدم لفتح الصفحة ذات الصلة.

تعرف على إدارة دورة حياة البيانات .

تمكين نصائح وإرشادات الترحيل

للمساعدة في عملية التوزيع والترحيل، يتضمن المصنف تلميحات تشرح كيفية استخدام علامات التبويب المختلفة والارتباطات إلى الموارد ذات الصلة. تستند التلميحات إلى وثائق ترحيل Microsoft Azure Sentinel وهي ذات صلة بـ SIEM الحالي. لتمكين النصائح والإرشادات، في مصنف Microsoft Azure Sentinel Deployment and Migration ، أعلى اليسار، عيّن MigrationTips و التعليمات على نعم .

لقطة شاشة لتلميحات وإرشادات ترحيل المصنف.

الخطوات التالية

في هذه المقالة، تعلمت كيفية تتبع الترحيل باستخدام مصنف Microsoft Azure Sentinel Deployment and Migration .