تجميع سجلات أحداث Sysmon

  • 5 دقائق

"مراقب النظام" (Sysmon) هي خدمة نظام Windows وبرنامج تشغيل جهاز يظل موجودا عبر عمليات إعادة تشغيل النظام لمراقبة نشاط النظام وتسجيله في سجل أحداث Windows بمجرد تثبيته على النظام. يوفر معلومات مفصلة حول عمليات إنشاء العملية واتصالات الشبكة والتغييرات التي تطرأ على وقت إنشاء الملفات. من خلال تجميع الأحداث التي يقوم بإنشائها باستخدام Windows Event Collection أو وكلاء SIEM ثم تحليلها، يمكنك تحديد النشاط الضار أو الشاذ وفهم كيفية عمل المتسللين والبرامج الضارة على شبكتك.

Note

يعد تثبيت Sysmon وتكوينه خارج نطاق هذا التدريب. لمزيد من المعلومات حول Sysmon، راجع Sysinternals Sysmon.

بعد توصيل عامل Sysmon بجهاز Windows، يمكنك تثبيت حل مركز محتوى الأحداث المعاد توجيهها في Windows والذي يتضمن موصل بيانات أحداث إعادة توجيه Windows . يسمح لك موصل البيانات بدفق جميع سجلات إعادة توجيه أحداث Windows (WEF) من خوادم Windows المتصلة بمساحة عمل Microsoft Sentinel باستخدام عامل Azure Monitor (AMA). في تكوين موصل البيانات، يمكنك إنشاء قواعد جمع البيانات (DCRs) لتجميع المقاييس والسجلات من نظام تشغيل العميل. قم بتنفيذ الخطوات التالية لإنشاء DCR وتمكين Microsoft Sentinel من الاستعلام عن السجلات:

تثبيت الحل

ابدأ بتثبيت الحل الذي يحتوي على موصل البيانات.

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن إدارة المحتوى، حدد مركز المحتوى. بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد

  2. ابحث عن أحداث Windows المعاد توجيهها وحددها.

  3. في جزء التفاصيل، حدد تثبيت.

تكوين موصل البيانات

بعد تثبيت الحل، قم بتوصيل موصل البيانات.

  1. في قائمة التنقل في Microsoft Sentinel، قم بتوسيع التكوين، وحدد موصلات البيانات.

  2. حدد موصل بيانات الأحداث المعاد توجيهها في Windows .

  3. حدد +إنشاء قاعدة مجموعات البيانات.

    لقطة شاشة تعرض علامة تبويب الأساسيات لقاعدة تجميع بيانات جديدة.

  4. املأ الحقول التالية في علامة التبويب أساسي :

    Setting Description
    اسم القاعدة اسم DCR. يجب أن يكون الاسم شيئا وصفيا يساعدك على تحديد القاعدة.
    Subscription الاشتراك في تخزين DCR. لا يلزم أن يكون الاشتراك هو نفس الاشتراك مثل الأجهزة الظاهرية.
    مجموعة الموارد مجموعة موارد لتخزين DCR. لا تحتاج مجموعة الموارد إلى أن تكون نفس مجموعة الموارد مثل الأجهزة الظاهرية.

  5. حدد التالي:الموارد >.

  6. في علامة التبويب الموارد ، قم بتوسيع عمود النطاق ، وقم بتوسيع اشتراك Microsoft Azure.

  7. قم بتوسيع مجموعة الموارد أو مجموعاتها، وحدد الأجهزة الظاهرية التي تريد توصيلها ب Microsoft Sentinel.

  8. حدد الزر التالي: تجميع > ، وحدد زر الاختيار المخصص .

  9. على سبيل المثال، يمكنك إدخال موقع سجل الأحداث التالي (تنسيق XPath) لتجميع أحداث Sysmon:

    Microsoft-Windows-Sysmon/Operational!*

  10. حدد الزر إضافة لإضافة موقع سجل أحداث Sysmon.

  11. حدد الزر التالي: مراجعة + إنشاء > ، بعد اجتياز التحقق من الصحة، حدد إنشاء.

    لقطة شاشة لتكوين Log Analytics Sysmon.

    Note

    في نهاية هذه العملية، يتم تثبيت Azure Monitor Agent على أي أجهزة محددة لا تحتوي على العامل بالفعل.

  12. بعد إنشاء DCR، حدد الزر تحديث لرؤية القاعدة. يمكنك أيضا تحرير القواعد الموجودة أو حذفها من قسم التكوين في صفحة الموصل.

يمكن لهذا الموصل استخدام نموذج معلومات الأمان المتقدم (ASIM). توصي Microsoft باستخدام تسوية ASIM. لمزيد من المعلومات حول ASIM، راجع نموذج معلومات الأمان المتقدم (ASIM).

  1. في صفحة موصل الأحداث المعاد توجيهها في Windows ، قسم التكوين ، حدد الزر نشر .

  2. املأ الحقول المطلوبة لقالب ARM للتوزيع المخصص ، وحدد مراجعة + إنشاء.

  3. بعد تجاوز التحقق من الصحة، حدد Create.