مشاركة عبر

توصيل نظام أساسي التحليل الذكي للمخاطرات الخاصة بك بـ Microsoft Azure Sentinel

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

إشعار

موصل البيانات هذا على مسار للإهمال. وسيتم نشر مزيد من المعلومات عن الجدول الزمني المحدد. استخدم موصل بيانات واجهة برمجة تطبيقات تحميل مؤشرات التحليل الذكي للمخاطر الجديد للحلول الجديدة من الآن فصاعدا. لمزيد من المعلومات، راجع توصيل النظام الأساسي للتحليل الذكي للمخاطر ب Microsoft Sentinel باستخدام واجهة برمجة تطبيقات التحميل.

تستخدم العديد من المؤسسات حلول النظام الأساسي للمعلومات الذكية للمخاطر (TIP) لتجميع موجزات مؤشرات التهديد من مصادر مختلفة. من الموجز المجمع، يتم تنسيق البيانات لتطبيقها على حلول الأمان مثل أجهزة الشبكة أو حلول EDR/XDR أو معلومات الأمان وحلول إدارة الأحداث (SIEM) مثل Microsoft Sentinel. باستخدام موصل بيانات TIP، يمكنك استخدام هذه الحلول لاستيراد مؤشرات التهديد إلى Microsoft Sentinel.

نظرا لأن موصل بيانات TIP يعمل مع واجهة برمجة تطبيقات Microsoft Graph Security tiIndicators لإنجاز هذه العملية، يمكنك استخدام الموصل لإرسال مؤشرات إلى Microsoft Sentinel (وإلى حلول أمان Microsoft الأخرى مثل Defender XDR) من أي تلميح مخصص آخر يمكنه الاتصال بواجهة برمجة التطبيقات هذه.

لقطة شاشة تعرض مسار استيراد التحليل الذكي للمخاطر.

إشعار

للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .

تعرف على المزيد حول التحليل الذكي للمخاطر في Microsoft Sentinel، وتحديدا حول منتجات TIP التي يمكنك دمجها مع Microsoft Sentinel.

هام

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender بدون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

المتطلبات الأساسية

  • لتثبيت المحتوى أو الحلول المستقلة وتحديثها وحذفها في مركز المحتوى، تحتاج إلى دور مساهم Microsoft Sentinel على مستوى مجموعة الموارد.
  • لمنح أذونات لمنتج TIP أو أي تطبيق مخصص آخر يستخدم التكامل المباشر مع Microsoft Graph TI Indicators API، يجب أن يكون لديك دور مسؤول الأمان Microsoft Entra أو الأذونات المكافئة.
  • لتخزين مؤشرات التهديد، يجب أن يكون لديك أذونات القراءة والكتابة إلى مساحة عمل Microsoft Sentinel.

الإرشادات

لاستيراد مؤشرات التهديد إلى Microsoft Sentinel من TIP المتكامل أو حل التحليل الذكي للمخاطر المخصص، اتبع الخطوات التالية:

  1. الحصول على معرف التطبيق وسر العميل من معرف Microsoft Entra.
  2. أدخل هذه المعلومات في حل TIP أو التطبيق المخصص.
  3. تمكين موصل بيانات TIP في Microsoft Sentinel.

التسجيل للحصول على معرف تطبيق وسر العميل من Microsoft Entra ID

سواء كنت تعمل مع TIP أو حل مخصص، تتطلب واجهة برمجة تطبيقات tiIndicators بعض المعلومات الأساسية للسماح لك بتوصيل الموجز الخاص بك به وإرسال مؤشرات التهديد إليه. المعلومات الثلاث التي تحتاجها هي:

  • معرف التطبيق (العميل)
  • معرف الدليل (المستأجر)
  • سر العميل

يمكنك الحصول على هذه المعلومات من معرف Microsoft Entra من خلال تسجيل التطبيق، والذي يتضمن الخطوات الثلاث التالية:

  • تسجيل تطبيق باستخدام معرف Microsoft Entra.
  • حدد الأذونات المطلوبة من قبل التطبيق للاتصال بواجهة برمجة تطبيقات Microsoft Graph tiIndicators وإرسال مؤشرات التهديد.
  • احصل على موافقة من مؤسستك لمنح هذه الأذونات لهذا التطبيق.

تسجيل تطبيق باستخدام معرف Microsoft Entra

  1. في مدخل Microsoft Azure، انتقل إلى معرف Microsoft Entra.

  2. في القائمة، حدد تسجيلات التطبيقات، ثم حدد تسجيل جديد.

  3. اختر اسما لتسجيل التطبيق الخاص بك، وحدد مستأجر واحد، ثم حدد تسجيل.

    لقطة شاشة تظهر تسجيل تطبيق.

  4. على الشاشة التي تفتح، انسخ قيم معرف التطبيق (العميل) ومعرف الدليل (المستأجر). تحتاج إلى هاتين الجزئتين من المعلومات لاحقا لتكوين TIP أو الحل المخصص لإرسال مؤشرات التهديد إلى Microsoft Sentinel. الجزء الثالث من المعلومات التي تحتاجها، سر العميل، يأتي لاحقا.

حدد الأذونات المطلوبة من قبل التطبيق

  1. ارجع إلى الصفحة الرئيسية لمعرف Microsoft Entra.

  2. في القائمة، حدد تسجيلات التطبيقات، ثم حدد التطبيق المسجل حديثا.

  3. في القائمة، حدد API Permissions>Add a permission.

  4. في صفحة Select an API ، حدد Microsoft Graph API. ثم اختر من قائمة أذونات Microsoft Graph.

  5. في المطالبة ما نوع الأذونات التي يتطلبها تطبيقك؟، حدد أذونات التطبيق. هذا الإذن هو النوع المستخدم من قبل التطبيقات التي تصادق مع معرف التطبيق وأسرار التطبيق (مفاتيح API).

  6. حدد ThreatIndicators.ReadWrite.OwnedBy، ثم حدد إضافة أذونات لإضافة هذا الإذن إلى قائمة الأذونات الخاصة بتطبيقك.

    لقطة شاشة تعرض تحديد الأذونات.

  1. لمنح الموافقة، يلزم وجود دور متميز. لمزيد من المعلومات، راجع منح موافقة المسؤول على مستوى المستأجر على أحد التطبيقات.

    لقطة شاشة تظهر منح الموافقة.

  2. بعد منح الموافقة على تطبيقك، يجب أن ترى علامة اختيار خضراء ضمن الحالة.

بعد تسجيل التطبيق ومنح الأذونات، تحتاج إلى الحصول على سر العميل لتطبيقك.

  1. ارجع إلى الصفحة الرئيسية لمعرف Microsoft Entra.

  2. في القائمة، حدد تسجيلات التطبيقات، ثم حدد التطبيق المسجل حديثا.

  3. في القائمة، حدد Certificates & secrets. ثم حدد سر عميل جديد لتلقي سر (مفتاح API) لتطبيقك.

    لقطة شاشة تظهر الحصول على سر العميل.

  4. حدد Add، ثم انسخ سر العميل.

    هام

    يجب نسخ سر العميل قبل مغادرة هذه الشاشة. لا يمكنك استرداد هذا السر مرة أخرى إذا ذهبت بعيدا عن هذه الصفحة. تحتاج إلى هذه القيمة عند تكوين TIP أو الحل المخصص.

أدخل هذه المعلومات في حل TIP أو التطبيق المخصص

لديك الآن جميع أجزاء المعلومات الثلاثة التي تحتاجها لتكوين TIP أو الحل المخصص لإرسال مؤشرات التهديد إلى Microsoft Sentinel:

  • معرف التطبيق (العميل)
  • معرف الدليل (المستأجر)
  • سر العميل

أدخل هذه القيم في تكوين TIP المتكامل أو الحل المخصص عند الحاجة.

  1. بالنسبة للمنتج الهدف، حدد Azure Sentinel. (تحديد ينتج عن Microsoft Sentinel خطأ.)

  2. للإجراء، حدد alert.

بعد الانتهاء من التكوين، يتم إرسال مؤشرات التهديد من TIP أو الحل المخصص، من خلال واجهة برمجة تطبيقات Microsoft Graph tiIndicators، المستهدفة في Microsoft Sentinel.

تمكين موصل بيانات TIP في Microsoft Sentinel

الخطوة الأخيرة في عملية التكامل هي تمكين موصل بيانات TIP في Microsoft Sentinel. تمكين الموصل هو ما يسمح لـ Microsoft Azure Sentinel بتلقي مؤشرات التهديد المرسلة من TIP أو الحل المخصص. تتوفر هذه المؤشرات لجميع مساحات عمل Microsoft Sentinel لمؤسستك. لتمكين موصل بيانات TIP لكل مساحة عمل، اتبع الخطوات التالية:

  1. بالنسبة إلى Microsoft Sentinel في مدخل Microsoft Azure، ضمن إدارة المحتوى، حدد مركز المحتوى.
    بالنسبة إلى Microsoft Sentinel في مدخل Defender، حدد مركز محتوى إدارة>المحتوى في Microsoft Sentinel.>

  2. ابحث عن حل التحليل الذكي للمخاطر وحدده.

  3. حدد الزر تثبيت/تحديث.

    لمزيد من المعلومات حول كيفية إدارة مكونات الحل، راجع اكتشاف المحتوى الجاهز ونشره.

  4. لتكوين موصل بيانات TIP، حدد موصلات بيانات التكوين>.

  5. ابحث عن الأنظمة الأساسية للتحلال الذكي للمخاطر وحددها - موصل بيانات مهمل ، ثم حدد فتح صفحة الموصل.

  6. نظرا لأنك انتهيت بالفعل من تسجيل التطبيق وقمت بتكوين TIP أو الحل المخصص لإرسال مؤشرات التهديد، فإن الخطوة الوحيدة المتبقية هي تحديد Connect.

في غضون بضع دقائق، يجب أن تبدأ مؤشرات التهديد بالتدفق إلى مساحة عمل Microsoft Azure Sentinel. يمكنك العثور على المؤشرات الجديدة في جزء التحليل الذكي للمخاطر، والتي يمكنك الوصول إليها من قائمة Microsoft Sentinel.

المحتوى ذو الصلة

في هذه المقالة، تعلمت كيفية توصيل تلميحك ب Microsoft Sentinel باستخدام أسلوب في مسار الإهمال. لتوصيل تلميحك باستخدام الأسلوب الموصى به، راجع توصيل تلميحك بواجهة برمجة تطبيقات التحميل.