مقدمة
يمكنك توصيل أجهزة Windows بمساحة عمل Microsoft Sentinel باستخدام موصلات البيانات المتوفرة. يوفر الموصل خيارات للتحكم في الأحداث التي يجب تجميعها.
تعمل «كمحلل في مجال عمليات الأمان» تعمل في شركة قامت بتطبيق Microsoft Sentinel. يجب عليك جمع بيانات سجل الأحداث من مضيفي Windows. يمكن أن يكون المضيفون موجودين محليا أو كجهاز ظاهري في Azure.
يعتمد فريق عمليات الأمان على بيانات الحدث التي تم إنشاؤها بواسطة أداة Sysmon المثبتة على بعض مضيفي Windows. ستقوم بتكوين مضيفي Windows لإرسال بيانات الحدث إلى Microsoft Sentinel. تحتاج أيضا إلى التأكد من توفر أحداث Sysmon لاستخدامها في قواعد الكشف.
بنهاية هذه الوحدة النمطية، ستتمكن من توصيل أجهزة Windows بمساحة عمل Microsoft Sentinel باستخدام موصل البيانات المتوفر.
بعد إِكمال هذه الوحدة، ستتمكن من القيام بما يلي:
- توصيل أجهزة Azure Windows الظاهرية ب Microsoft Sentinel
- توصيل مضيفي Windows غير Azure ب Microsoft Sentinel
- تكوين عامل تحليل السجل لتجميع أحداث Sysmon
المتطلبات الأساسية
المعرفة الأساسية للمفاهيم التشغيلية مثل المراقبة، والتسجيل، والتنبيه.