التخطيط لموصل أحداث الأمان الذي يستضيف Windows
لديك خياران لحل مركز المحتويات لأحداث أمان Windows لدفق الأحداث من أجهزة Windows إلى Microsoft Sentinel.
الخيار الأول هو تثبيت حل مركز محتوى أحداث أمان Windows . يمكنك اختيار أي من موصلي بيانات العامل المتوفرين:
- أحداث أمان Windows عبر موصل AMA
- أحداث الأمان عبر موصل العامل القديم
الخيار الثاني هو تثبيت حل Windows Forwarded Events Content Hub وتكوين جهاز Windows Event Collector لتلقي الأحداث من أجهزة Windows. سيقوم جهاز Windows Event Collector بعد ذلك بإعادة توجيه الأحداث إلى Microsoft Sentinel باستخدام موصل بيانات أحداث Windows المعاد توجيهها .
إشعار
توصي Microsoft بتثبيت أحداث أمان Windows عبر موصل AMA. يستخدم الموصل القديم عامل Log Analytics الذي تم إهماله في 31 أغسطس 2024، وبالتالي يجب تثبيته فقط في حالة عدم دعم AMA.
أحداث أمان Windows عبر موصل AMA مقابل أحداث الأمان عبر موصل العامل القديم
تحتوي أحداث أمان Windows عبر موصل AMA على الاختلافات التالية من أحداث الأمان عبر موصل العامل القديم:
المزايا:
- إدارة إعدادات المجموعة على نطاق واسع
- عامل مراقبة Azure المشترك مع حلول أخرى
- تحسينات الأداء
- تحسينات الأمان
القيود:
- لا يوجد.
المتطلبات:
- تتطلب الأجهزة/الأجهزة غير التابعة ل Azure VM Azure Arc.
Azure Arc
يستخدم Azure Arc عامل Azure Connected Machine (azcmagent) المثبت على الجهاز أو الجهاز الظاهري الذي يسمح بإدارة الجهاز بنفس إدارة جهاز Azure الظاهري. يوفر Azure Arc وظائف أخرى بما في ذلك تشغيل الخدمات المستندة إلى Azure في بيئة مختلطة.