تمرين - الاستعلام عن البيانات وتصورها باستخدام مصنفات Microsoft Sentinel

  • 10 دقائق

هذا الاستعلام وتصور تمرين البيانات هو وحدة اختيارية. إذا كنت ترغب في تنفيذ هذا التمرين، فأنت بحاجة إلى الوصول إلى اشتراك Azure حيث يمكنك إنشاء موارد Azure. في حال لم يكن لديك اشتراك Azure، فأنشئ حساباً مجانيّاً قبل البدء.

إشعار

إذا اخترت إجراء التمرين في هذه الوحدة النمطية، فكن على علم بأنك قد تتحمل تكاليف في اشتراك Azure الخاص بك. لتقدير التكلفة، راجع أسعار Microsoft Sentinel.

لتوزيع المتطلبات الأساسية للتمرين، قم بتنفيذ المهام التالية.

المهمة 1: إنشاء موارد

  1. حدد الارتباط التالي:

    التوزيع إلى Azure.

    مطالب بتسجيل الدخول إلى Azure.

  2. في صفحة Custom deployment ، قم بتوفير المعلومات التالية:

    اسم ‏‏الوصف
    الاشتراك حدد اشتراك Azure الخاص بك.
    مجموعة الموارد حدد Create new وقم بتوفير اسم لمجموعة الموارد مثل azure-sentinel-rg.
    المنطقة من القائمة المنسدلة، حدد الموقع الذي تريد نشر Microsoft Sentinel فيه.
    اسم مساحة العمل أدخل اسما فريدا لمساحة عمل Microsoft Sentinel مثل <yourName-sentinel>.
    الموقع الموافقة على القيمة الافتراضية [resourceGroup().location]
    اسم Simplevm قبول القيمة الافتراضية simple-vm.
    "Simplevm Windows OS Version" اقبل القيمة الافتراضية ل 2022-Datacenter.

  3. حدد مراجعة + إنشاء، ثم حدد إنشاء.

    لقطة شاشة لصفحة Custom Deployment.

    إشعار

    انتظر حتى يكتمل التوزيع. يجب أن يستغرق النشر أقل من 5 دقائق.

المهمة 2: التحقق من الموارد التي تم إنشاؤها

  1. في مدخل Azure، ابحث عن "Resource groups".

  2. حدد "azure-sentinel-rg".

  3. يجب فرز قائمة الموارد حسب «Type».

  4. يجب أن تحتوي مجموعة الموارد على الموارد المحددة في الجدول التالي.

    اسم نوع ‏‏الوصف
    <yourName-sentinel> مساحة عمل Log Analytics مساحة عمل Log Analytics المستخدمة من قبل Microsoft Sentinel، مع اسم مساحة العمل الذي اخترته في المهمة السابقة.
    simple-vmNetworkInterface واجهة الشبكة واجهة الشبكة للجهاز الظاهري (VM).
    SecurityInsights(<yourName-sentinel>) حل تحليلات الأمان لـ Microsoft Sentinel.
    st1xxxxx حساب التخزين حساب التخزين المستخدم من قبل الجهاز الظاهري. تقوم السلسلة العشوائية xxxxx بإنشاء اسم حساب تخزين فريد.
    جهاز ظاهري بسيط الجهاز الظاهري الجهاز الظاهري المستخدم في العرض التوضيحي.
    vnet1 الشبكة الظاهرية الشبكة الافتراضية الخاصة بالجهاز الافتراضي.

إشعار

الموارد والتكوين في هذا التمرين مطلوبان في التمرين التالي. إذا كنت تنوي إكمال التمرين التالي، فلا تحذف هذه الموارد.

المهمة 3: تكوين موصلات Microsoft Sentinel

في هذه المهمة، يمكنك نشر موصل Microsoft Sentinel إلى نشاط Azure.

  1. في مدخل Microsoft Azure، ابحث عن Microsoft Sentinel وحدده. حدد مساحة عمل Microsoft Sentinel التي قمت بإنشائها في المهمة السابقة.

  2. في صفحة Microsoft Sentinel ، على شريط القوائم، ضمن Configuration، حدد Data connectors.

  3. في جزء موصلات البيانات ، ابحث عن نشاط Azure وحدده.

  4. وأما في جزء التفاصيل، فحدد Open connector page.

    لقطة شاشة لصفحة موصلات بيانات Microsoft Sentinel.

  5. في شاشة نشاط Azure ، ضمن الإرشادات، تحقق من المتطلبات الأساسية ثم اتبع خطوات التكوين .

  6. عندما تتلقى حالة متصل، أغلق جميع اللوحات المفتوحة للعودة إلى Microsoft Sentinel | لوحة موصل البيانات .

إشعار

قد يستغرق توزيع موصل Azure Activity 15 دقيقة. يمكنك متابعة بقية الخطوات في التمرين ومع الوحدات اللاحقة في هذه الوحدة.