موارد لإنشاء موصلات Microsoft Azure Sentinel المُخصصة
يوفر Microsoft Sentinel مجموعة واسعة من الموصلات الجاهزة لخدمات Azure والحلول الخارجية، كما يدعم استيعاب البيانات من بعض المصادر دون موصل مخصص.
في حال لم تتمكن من توصيل مصدر البيانات بـ Microsoft Azure Sentinel باستخدام أي من الحلول الموجودة المتوفرة، فضع في عين الاعتبار إنشاء موصل مصدر البيانات الخاص بك.
للحصول على قائمة كاملة بالموصلات المدعومة، راجع البحث عن موصل بيانات Microsoft Sentinel).
مقارنة أساليب المُوصل المُخصصة
يُقارن الجدول التالي التفاصيل الأساسية حول كل أسلوب لإنشاء موصلات مخصصة موضحة في هذه المقالة. حدّد الارتباطات الموجودة في الجدول للحصولِ على مزيد من التفاصيل حول كل أسلوب.
| وصفُ الأسلوب | الإمكانية | دون خادم | تعقيد |
|---|---|---|---|
| النظام الأساسي للموصل بدون تعليمات برمجية الأفضل لجماهير أقل تقنية لإنشاء موصلات خدمة تأجير البرامج باستخدام ملف تكوين بدلاً من التطوير المتقدم. |
يدعم جميع الإمكاناتِ المتوفرة مع التعليمات البرمجية. | نعم | تطوير منخفض وبسيط بدون تعليمات برمجية |
| عامل Azure Monitor الأفضل لجمع الملفات من مصادر محلية ومصادر خدمة تأجير البنية التحتية |
جمع الملفات وتحويل البيانات | لا | منخفض |
| Logstash الأفضل للمصادر المحلية ومصادر خدمة تأجير البنية التحتية، وأي مصدر يتوفر له مكون إضافي، والمؤسسات على دراية بالفعل بـ Logstash |
يدعم جميع قدرات عامل Azure Monitor | لا؛ يتطلب تشغيل نظام مجموعة الجهاز الظاهري أو الجهاز الظاهري | منخفض؛ يدعم العديدَ من السيناريوهات مع المكونات الإضافية |
| التطبيقات المنطقية غلاء; تجنب البيانات ذات الحجم الكبير الأفضل لمصادر السحابةِ منخفضة الحجم |
تسمح البرمجة بدون تعليماتٍ برمجية بمرونة محدودة، دون دعم لتنفيذ الخوارزميات. في حال لم يكن هناك إجراء متوفر يدعم متطلباتك بالفعل، فقد يؤدي إنشاء إجراء مخصص إلى إضافة تعقيد. |
نعم | تطوير منخفض وبسيط بدون تعليمات برمجية |
| واجهة برمجة تطبيقات تسجيل الاستيعاب في Azure Monitor الأفضل لـ ISV التي تنفذ التكامل، ولمتطلبات المجموعة الفريدة |
يدعم جميع الإمكاناتِ المتوفرة مع التعليمات البرمجية. | يعتمد على التنفيذ | درجة عالية |
| دالات Azure الأفضل لمصادر السحابة عالية الحجم، ولمتطلبات المجموعة الفريدة من نوعها |
يدعم جميع الإمكاناتِ المتوفرة مع التعليمات البرمجية. | نعم | مرتفع؛ يتطلب معرفةً بالبرمجة |
تلميح
لمقارنات استخدام Logic Apps وAzure Functions لنفسِ الموصل، راجع:
- استيعاب سجلات جدار حماية تطبيق الويب السريع في Microsoft Azure Sentinel
- Office 365 (مجتمع Microsoft Sentinel GitHub): موصل Logic App | موصل Azure Function
الاتصال مع النظام الأساسي للموصلِ بدون تعليمات برمجية
يوفر النظام الأساسي للموصل بدون تعليمات برمجية (CCP) ملف تكوين يمكن استخدامه من قبل كل من العملاء والشركاء، ثم نشره في مساحة العمل الخاصة بك، أو كحل لمركز محتوى Microsoft Sentinel.
الموصلات التي تم إنشاؤها باستخدام النظام الأساسي للموصلِ بدون تعليمات برمجية هي خدمة تأجير البرامج بالكامل، دون أي متطلبات لتثبيت الخدمة، وتشمل أيضًا مراقبة الصحة والدعم الكامل من Microsoft Azure Sentinel.
لمزيد من المعلومات، راجع إنشاء موصل بدون تعليمات برمجية لـ Microsoft Azure Sentinel.
الاتصال بعامل Azure Monitor
إذا كان مصدر البيانات الخاص بك يسلم الأحداث في الملفات النصية، نوصي باستخدام عامل Azure Monitor لإنشاء موصل مخصص.
لمزيد من المعلومات، راجع تجميع السجلات من ملف نصي باستخدام عامل Azure Monitor.
للحصول على مثال لهذا الأسلوب، راجع تجميع السجلات من ملف JSON باستخدام عامل Azure Monitor.
الاتصال بـ Logstash
في حال كنت على دراية بـ Logstash، فقد تحتاج إلى استخدام Logstash مع المكون الإضافي لإخراج Logstash لـ Microsoft Azure Sentinel لإنشاء الموصل المخصص الخاص بك.
باستخدام المكون الإضافي Microsoft Azure Sentinel Logstash Output، يمكنك استخدام أي مكونات إضافية لإدخال Logstash وتصفيتها، وتكوين Microsoft Azure Sentinel كإخراج لمسار Logstash. يحتوي Logstash على مكتبة كبيرة من المكونات الإضافية التي تمكن الإدخال من مصادر مختلفة، مثل مراكز الأحداث وApache Kafka والملفات وقواعدِ البيانات وخدمات السحابة. استخدم تصفية المكوناتِ الإضافية لتحليل الأحداث وتصفية الأحداث غير الضرورية وتعتيم القيم وغيرها.
للحصول على أمثلة لاستخدام Logstash كموصل مُخصص، راجع:
- البحث عن TTPs خرق حروف كبيرة واحد في سجلات AWS باستخدام Microsoft Azure Sentinel (مدونة)
- دليل تنفيذ Radware Microsoft Sentinel
للحصول على أمثلة على المكونات الإضافية المفيدة لـ Logstash، راجع:
- المكون الإضافي لإدخال Cloudwatch
- المكون الإضافي لمراكز الأحداث
- المكون الإضافي لإدخالِ Google Cloud Storage
- Google_pubsub input plugin
تلميح
يُتيح Logstash أيضًا جمع البيانات المتدرجة باستخدام نظام مجموعة. لمزيدٍ من المعلومات، راجع استخدام جهاز Logstash ظاهري متوازن التحميل على نطاق واسع.
الاتصال بـ Logic Apps
استخدم Azure Logic Apps لإنشاء موصل مخصص بلا خادم لـ Microsoft Azure Sentinel.
إشعار
في حين أن إنشاء موصلات بلا خادم باستخدام Logic Apps قد يكون مناسبًا، قد يكون استخدام Logic Apps للموصلات مكلفًا لكميات كبيرة من البيانات.
نوصي باستخدام هذا الأسلوب فقط لمصادر البيانات مُنخفضة الحجم، أو إثراء تحميلات البيانات.
استخدم أحد المشغلاتِ التالية لبدء تشغيل Logic Apps:
المشغِّل الوصف مهمة مُتكررة على سبيلِ المثال، قم بجدولة Logic App لاسترداد البيانات بانتظام من ملفات أو قواعد بيانات أو واجهات برمجة تطبيقات خارجية معينة.
لمزيدٍ من المعلومات، راجع إنشاء المهام وسير العمل المتكررة وجدولتها وتشغيلها في Azure Logic Apps.تشغيل عند الطلب شغّل Logic App عند الطلب لجمع البيانات يدويًا واختبارها.
لمزيدٍ من المعلومات، راجع استدعاء تطبيقات المنطق أو تشغيلها أو تداخلها باستخدام HTTPS.نقطة نهاية HTTP/S يوصى به للتدفق، وإذا كان النظام المصدر يُمكنه بدء نقل البيانات.
لمزيدٍ من المعلومات، راجع نقاط نهاية خدمة الاتصال عبر HTTP أو HTTPs.استخدم أي من موصلاتِ Logic App التي تقرأ المعلومات للحصول على الأحداث الخاصة بك. على سبيل المثال:
تلميح
تدعم الموصلات المُخصصة لواجهات برمجة تطبيقات REST وخوادم SQL وأنظمة الملفات أيضًا استرداد البيانات من مصادر البيانات المحلية. لمزيدٍ من المعلومات، راجع وثائق تثبيت بوابة البيانات المحلية.
قم بإعداد المعلوماتِ التي تريد استردادها.
على سبيل المثال، استخدم إجراء توزيع JSON للوصول إلى الخصائص في محتوى JSON، ما يتيح لك تحديد هذه الخصائص من قائمة المحتوى الديناميكي عند تحديد إدخالات لتطبيق المنطق الخاص بك.
لمزيدٍ من المعلومات، راجع تنفيذ عمليات البيانات في Azure Logic Apps.
اكتب البياناتِ إلى Log Analytics.
لمزيدٍ من المعلومات، راجع وثائق Azure Log Analytics Data Collector.
للحصول على أمثلة حول كيفية إنشاء موصل مخصص لـ Microsoft Azure Sentinel باستخدام Logic Apps، راجع:
- إنشاء مسار بيانات باستخدام واجهة برمجة تطبيقات جامع البيانات
- موصل Palo Alto Prisma Logic App باستخدام خطاف ويب (مجتمع Microsoft Sentinel GitHub)
- تأمين مكالمات Microsoft Teams الخاصة بك من خلال التنشيط المجدول (مدونة)
- استيعاب مؤشراتِ تهديد AlienVault OTX في Microsoft Sentinel (مدونة)
الاتصال بواجهة برمجة تطبيقات استيعاب السجل
يُمكنك دفق الأحداث إلى Microsoft Azure Sentinel باستخدام واجهة برمجة تطبيقات جامع بيانات Log Analytics لاستدعاء نقطة نهاية RESTful مباشرة.
أثناء استدعاء نقطة نهاية RESTful يتطلب مباشرة المزيد من البرمجة، فإنه يوفر أيضًا المزيد من المرونة.
لمزيد من المعلومات، راجع المقالات التالية:
- تسجيل واجهة برمجة تطبيقات الاستيعاب في Azure Monitor.
- نموذج التعليمات البرمجية لإرسال البيانات إلى Azure Monitor باستخدام واجهة برمجة تطبيقات استيعاب السجلات.
الاتصال بـ Azure Functions
استخدم Azure Functions مع واجهة برمجة تطبيقات RESTful ولغات ترميز مختلفة، مثل PowerShell، لإنشاء موصل مُخصص بلا خادم.
للحصول على أمثلةٍ لهذا الأسلوب، راجع:
- توصيل VMware Carbon Black Cloud Endpoint Standard بـ Microsoft Azure Sentinel باستخدام Azure Function
- توصيل Sign-On Okta Single بـ Microsoft Azure Sentinel باستخدام Azure Function
- توصيل Proofpoint TAP بـ Microsoft Azure Sentinel باستخدام Azure Function
- توصيل Qualys VM بـ Microsoft Azure Sentinel باستخدام Azure Function
- استيعاب XML أو CSV أو تنسيقات البيانات الأخرى
- مراقبة التكبير/التصغير باستخدام Microsoft Azure Sentinel (مدونة)
- نشر تطبيق وظائف للحصول على بيانات واجهة برمجة تطبيقات إدارة Office 365 في Microsoft Azure Sentinel (مجتمع Microsoft Sentinel GitHub)
توزيع بيانات الموصل المخصص
للاستفادة من البيانات التي تم جمعها مع الموصل المخصص، قم بتطوير محللات نموذج معلومات الأمان المتقدمة للعمل مع الموصل الخاص بك. يُتيح استخدام ASIM للمحتوى المضمن في Microsoft Azure Sentinel استخدام بياناتك المخصصة ويجعل من السهل على المحللين الاستعلام عن البيانات.
في حال كانت طريقة الموصل تسمح بذلك، يمكنك تنفيذ جزء من التحليل كجزء من الموصل لتحسين أداء تحليل وقت الاستعلام:
- في حال كنت قد استخدمت Logstash، فاستخدم المكون الإضافي لعامل تصفية Grok لتحليل بياناتك.
- في حال كنت قد استخدمت دالة Azure، فوزع بياناتك باستخدام التعليمات البرمجية.
ستظل بحاجة إلى تنفيذ محللات ASIM، ولكن تنفيذ جزء من التحليل مباشرة مع الموصل يبسط التحليل ويحسّن الأداء.
الخطوات التالية
استخدم البياناتِ التي تم استيعابها في Microsoft Azure Sentinel لتأمين بيئتك مع أي من العمليات التالية: