مشاركة عبر

مصادر السجل لاستخدامها في استيعاب السجلات المساعدة

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

تسلط هذه المقالة الضوء على مصادر السجل للنظر في التكوين كسجلات مساعدة (أو سجلات أساسية) عند تخزينها في جداول Log Analytics. قبل اختيار نوع سجل لتكوين جدول معين له، قم بإجراء البحث لمعرفة ما هو الأنسب. لمزيد من المعلومات حول فئات البيانات وخطط بيانات السجل، راجع خطط استبقاء السجل في Microsoft Sentinel.

هام

نوع سجل السجلات الإضافية قيد المعاينة حاليا. راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure للحصول على شروط قانونية إضافية تنطبق على ميزات Azure الموجودة في الإصدار التجريبي أو المعاينة أو غير ذلك من المزايا التي لم يتم إصدارها بعد في التوفر العام.

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

سجلات الوصول إلى التخزين لموفري الخدمات السحابية

يمكن أن توفر سجلات الوصول إلى التخزين مصدرًا ثانويًا للمعلومات للتحقيقات التي تنطوي على كشف بيانات حساسة لأطراف غير مصرح لها. من الممكن أن تساعدك هذه السجلات في تحديد المشكلات المتعلقة بأذونات النظام أو المستخدم الممنوحة للبيانات.

يسمح لك العديد من موفري الخدمات السحابية بتسجيل كافة الأنشطة. يمكنك استخدام هذه السجلات للبحث عن نشاط غير عادي أو غير مصرح به، أو للتحقيق في الاستجابة لحادث ما.

سجلات NetFlow

تستخدم سجلات NetFlow لفهم اتصالات الشبكة داخل البنية الأساسية الخاصة بك، وبين البنية الأساسية والخدمات الأخرى عبر الإنترنت. في معظم الأحيان، يمكنك استخدام هذه البيانات للتحقيق في نشاط الأوامر والتحكم لأنه يتضمن عناوين IP المصدر والوجهة والمنافذ. استخدم بيانات التعريف التي يوفرها NetFlow لمساعدتك على تجميع معلومات عن المتطفل على الشبكة.

سجلات تدفق VPC لموفري الخدمات السحابية

أصبحت لسجلات تدفق السحابة الخاصة الظاهرية (VPC) أهمية كبيرة في التحقيقات الأمنية وتتبع التهديدات. عندما تقوم المؤسسات بتشغيل بيئات سحابية، يحتاج متتبعي التهديدات إلى أن يكونوا قادرين على فحص تدفقات الشبكة بين السحب ببعضها أو بين السحب ونقاط النهاية.

سجلات مراقبة شهادة TLS/SSL

كانت سجلات مراقبة شهادات TLS/SSL ذات صلة كبيرة في الهجمات الإلكترونية الأخيرة ذات الأهمية العالية. في حين أن مراقبة شهادة TLS/SSL ليست مصدرًا شائعًا للسجلات، فإن السجلات توفر بيانات قيّمة للعديد من أنواع الهجمات التي تتضمن الشهادات. فهي تساعدك على معرفة مصدر الشهادة:

  • فإن كان موقعًا ذاتيًا
  • طريقة الإنشاء
  • في حال إن أُصدرت الشهادة من مصدر معتمد

سجلات الوكيل

تحتفظ العديد من الشبكات بوكيل ظاهر لتوفير رؤية نسبة استخدام الشبكة للمستخدمين الداخليين. تحتوي سجلات خادم الوكيل على الطلبات التي قام بها المستخدمون والتطبيقات على شبكة محلية. تحتوي هذه السجلات أيضًا على طلبات تطبيق أو خدمة تم إجراؤها عبر الإنترنت، مثل تحديثات التطبيق. كما يعتمد ما تم تسجيله على الجهاز أو الحل. ولكن غالبًا ما توفر السجلات:

  • التاريخ
  • الوقت
  • الحجم
  • والمضيف الداخلي الذي قدم الطلب
  • وما طلبه المضيف

عندما تستعلم عن الشبكة للتحقيق، يمكن أن يكون تداخل بيانات سجل الوكيل موردًا ذا قيمة.

سجلات جدار الحماية

غالبًا ما تكون سجلات أحداث جدار الحماية هي أهم مصادر سجل الشبكة لتتبع التهديدات والتحقيقات الأمنية. يمكن أن تكشف سجلات أحداث جدار الحماية عن عمليات نقل الملفات الكبيرة بشكل غير اعتيادي، وحجم وتكرار الاتصال من قبل المضيف، ومحاولات اتصال الفحص، ومسح المنفذ. سجلات جدار الحماية مفيدة أيضًا لأنها تعد مصدر بيانات لمختلف تقنيات التتبع غير المنظمة، مثل تكديس المنافذ المؤقتة، أو تكوين أنظمة المجموعات بأنماط اتصال مختلفة وتجميعها.

سجلات IoT

مصدر جديد ومتزايد لبيانات السجل هو الأجهزة المتصلة بإنترنت الأشياء (IoT). يمكن أن تسجل أجهزة IoT نشاطها الخاص أو بيانات أداة الاستشعار أو كلاهما التي سجلها الجهاز. يمثل ظهور IoT للتحقيقات الأمنية وتتبع التهديدات تحديًا كبيرًا. تحفظ عمليات توزيع IoT المتقدمة بيانات السجل في خدمة سحابية مركزية مثل Azure.

الخطوات التالية