قم بالاتصال باستخدام أحداث أمان Windows عبر موصل AMA

  • 3 دقائق

تستخدم أحداث أمان Windows عبر موصل AMA قواعد تجميع البيانات (DCRs) لتعريف البيانات التي يجب جمعها من كل عامل. توفر لك قواعد جمع البيانات ميزتين متميزتين:

  • إدارة إعدادات المجموعة على نطاق واسع مع الاستمرار في السماح بتكوينات فريدة محددة النطاق لمجموعات فرعية من الأجهزة. وهي مستقلة عن مساحة العمل ومستقلة عن الجهاز الظاهري، ما يعني أنه يمكن تعريفها مرة واحدة وإعادة استخدامها عبر الأجهزة والبيئات.

  • إنشاء عوامل تصفية مخصصة لاختيار الأحداث الدقيقة التي تريد استيعابها. يستخدم عامل Azure Monitor هذه القواعد لتصفية البيانات في المصدر واستيعاب الأحداث التي تريدها فقط، مع ترك كل شيء آخر خلفك.

المتطلبات الأساسية

  • يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.

  • لتجميع الأحداث من أي نظام ليس جهازا ظاهريا ل Azure، يجب أن يكون لدى النظام Azure Arc مثبت وممكن قبل تمكين الموصل المستند إلى عامل Azure Monitor.

يتضمن هذا ما يلي:

  • خوادم Windows مثبتة على أجهزة فعلية
  • خوادم Windows مثبتة على الأجهزة الظاهرية المحلية
  • خوادم Windows مثبتة على الأجهزة الظاهرية في السحب غير المتعلقة بـ Azure

توصيل مضيفي Windows

  1. من قائمة التنقل في Microsoft Sentinel، حدد موصلات البيانات.

  2. حدد أحداث أمان Windows عبر موصل AMA من القائمة، ثم حدد فتح صفحة الموصل في جزء التفاصيل.

  3. تحقق من أن لديك الأذونات المناسبة كما هو موضح ضمن قسم المتطلبات الأساسية في صفحة الموصل.

  4. ضمن Configuration، حدد +Add data collection rule. يفتح معالج إنشاء قاعدة تجميع البيانات.

  5. ضمن الأساسيات، أدخل اسم القاعدة وحدد مجموعة الاشتراك والموارد حيث سيتم إنشاء قاعدة جمع البيانات (DCR). لا يجب أن يكون هذا هو نفس مجموعة الموارد أو الاشتراك الذي توجد فيه الأجهزة المراقبة وارتباطاتها، طالما أنها في نفس المستأجر.

  6. في علامة التبويب الموارد، حدد +إضافة مورد (موارد) لإضافة الأجهزة التي سيتم تطبيق قاعدة تجميع البيانات عليها. يتم فتح مربع الحوار تحديد نطاق، وتشاهد قائمة بالاشتراكات المتوفرة. قم بتوسيع اشتراك لمشاهدة مجموعات الموارد الخاصة به، وتوسيع مجموعة موارد لرؤية الأجهزة المتوفرة. ترى أجهزة Azure الظاهرية والخوادم التي تدعم Azure Arc في القائمة. يمكنك وضع علامة على خانات الاختيار الخاصة بالاشتراكات أو مجموعات الموارد لتحديد كافة الأجهزة التي تحتوي عليها، أو يمكنك تحديد أجهزة فردية. حدد تطبيق عند اختيار جميع أجهزتك. في نهاية هذه العملية، يتم تثبيت عامل Azure Monitor على أي أجهزة محددة ليس لديها العامل بالفعل.

  7. في علامة التبويب تجميع، اختر الأحداث التي ترغب في جمعها. حدد:

    • كافة أحداث الأمان
    • شائع
    • الحد الأدنى
    • مخصص

    إشعار

    يسمح لك Custom بتحديد سجلات أخرى أو تصفية الأحداث باستخدام استعلامات XPath. بالنسبة لاستعلامات XPath، يمكنك إدخال ما يصل إلى 20 تعبيرا في مربع واحد، وما يصل إلى 100 مربع في قاعدة. يدعم عامل Azure Monitor استعلامات XPath للإصدار 1.0 من XPath فقط.

  8. عند إضافة جميع تعبيرات التصفية التي تريدها، حدد التالي: مراجعة + إنشاء.

  9. عندما ترى رسالة "تم تمرير التحقق من الصحة"، حدد إنشاء.

سترى جميع قواعد جمع البيانات (بما في ذلك تلك التي تم إنشاؤها من خلال واجهة برمجة التطبيقات) ضمن التكوين في صفحة الموصل. من هناك، يمكنك تحرير أو حذف القواعد الموجودة.

اختبار صلاحية استعلام XPath

استخدم Get-WinEvent PowerShell cmdlet مع المعلمة -FilterXPath لاختبار صلاحية استعلام XPath. يعرض البرنامج النصي التالي مثالاً:

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • إذا تم إرجاع الأحداث، فعندها يكون الاستعلام صالحًا.
  • إذا تلقيت الرسالة "لم يتم العثور على أحداث تطابق معايير التحديد المحددة"، فعندها قد يكون الاستعلام صالحاً، ولكن لا توجد أحداث مطابقة على الجهاز المحلي.
  • إذا تلقيت الرسالة «الاستعلام المحدد غير صالح»، بناء جملة الاستعلام غير صالح.