مشاركة عبر

تكوين مراكز الأحداث

  • مقالة

ينطبق على:

ملاحظة

جرب واجهات برمجة التطبيقات الجديدة باستخدام واجهة برمجة تطبيقات أمان MS Graph. تعرف على المزيد في: استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn.

تعرف على كيفية تكوين مراكز الأحداث بحيث يمكنها استيعاب الأحداث من Microsoft Defender XDR.

إعداد موفر الموارد المطلوب في اشتراك مراكز الأحداث

  1. سجّل الدخول إلى مدخل Azure.
  2. حدد Subscriptions>{ حدد الاشتراك الذي سيتم نشر مراكز الأحداث فيه إلى }>موفرو الموارد.
  3. تحقق مما إذا كان موفر Microsoft.Insights مسجلا أم لا. وإلا، قم بتسجيله.

صفحة قائمة موفري الخدمات في مدخل Microsoft Azure

إعداد تسجيل تطبيق Microsoft Entra

ملاحظة

يجب أن يكون لديك دور المسؤول أو يجب تعيين معرف Microsoft Entra للسماح لغير المسؤولين بتسجيل التطبيقات. يجب أن يكون لديك أيضا دور المالك أو مسؤول وصول المستخدم لتعيين دور لمدير الخدمة. لمزيد من المعلومات، راجع إنشاء تطبيق Microsoft Entra & كيان الخدمة في المدخل - النظام الأساسي للهويات في Microsoft | Microsoft Docs.

  1. إنشاء تسجيل جديد (الذي ينشئ بطبيعته كيان خدمة) فيتسجيلات> تطبيق معرف Microsoft Entra>تسجيل جديد.

  2. املأ النموذج بالاسم فقط (لا يلزم إعادة توجيه URI).

    قسم عرض اسم التطبيق في مدخل Microsoft Azure

    قسم معلومات النظرة العامة في مدخل Microsoft Azure

  3. إنشاء سر بالنقر فوق Certificates & secrets>New client secret:

    قسم سر العميل في مدخل Microsoft Azure

يتم استخدام قيمة سر العميل هذه بواسطة واجهات برمجة تطبيقات Microsoft Graph لمصادقة هذا التطبيق الذي يتم تسجيله.

تحذير

لن تتمكن من الوصول إلى سر العميل مرة أخرى، لذا تأكد من حفظه.

إعداد مساحة اسم مراكز الأحداث

  1. إنشاء مساحة اسم مراكز الأحداث:

    انتقل إلى Event Hub > Add وحدد مستوى التسعير ووحدات معدل النقل والتضخيم التلقائي (يتطلب تسعيرا قياسيا وضمن الميزات) المناسبة للتحميل الذي تتوقعه. لمزيد من المعلومات، راجع التسعير - مراكز الأحداث | Microsoft Azure.

    ملاحظة

    يمكنك استخدام مركز حدث موجود، ولكن يتم تعيين معدل النقل والتحجيم على مستوى مساحة الاسم لذلك يوصى بوضع مركز حدث في مساحة الاسم الخاصة به.

    قسم مراكز الأحداث في مدخل Microsoft Azure

  2. ستحتاج أيضا إلى معرف المورد لمساحة اسم مراكز الأحداث هذه. انتقل إلى صفحة > مساحة اسم Azure Event Hubs خصائص. انسخ النص ضمن معرف المورد وسجله للاستخدام أثناء قسم تكوين Microsoft 365 أدناه.

    قسم خصائص مراكز الأحداث في مدخل Microsoft Azure

إضافة أذونات

مطلوب منك إضافة أذونات إلى الأدوار التالية إلى الكيانات المشاركة في إدارة بيانات مراكز الأحداث:

  • المساهم: تتم إضافة الأذونات المتعلقة بهذا الدور إلى الكيان الذي يسجل الدخول إلى مدخل Microsoft Defender.
  • قارئوAzure Event Hub data Receiver: يتم تعيين الأذونات المتعلقة بهذه الأدوار للكيان الذي تم تعيينه بالفعل لدور كيان الخدمة وتسجيل الدخول إلى تطبيق Microsoft Entra.

للتأكد من إضافة هذه الأدوار، قم بتنفيذ الخطوة التالية:

انتقل إلى Event Hub Namespace>Access Control (IAM)>Add and verify ضمن Role assignments.

قسم كيان خدمة تسجيل التطبيق في مدخل Microsoft Azure

إعداد مراكز الأحداث

الخيار 1:

يمكنك إنشاء مراكز أحداث داخل مساحة الاسم وسيتم كتابة جميع أنواع الأحداث (الجداول) التي تحددها للتصدير في مركز الأحداث هذا .

الخيار 2:

بدلا من تصدير جميع أنواع الأحداث (الجداول) إلى مركز أحداث واحد، يمكنك تصدير كل جدول إلى مراكز أحداث مختلفة داخل مساحة اسم مراكز الأحداث (مركز أحداث واحد لكل نوع حدث).

في هذا الخيار، سيقوم Microsoft Defender XDR بإنشاء مراكز الأحداث نيابة عنك.

ملاحظة

إذا كنت تستخدم مساحة اسم Event Hub ليست جزءا من نظام مجموعة Event Hub، فلن تتمكن إلا من اختيار ما يصل إلى 10 أنواع أحداث (جداول) لتصديرها في كل إعدادات تصدير تحددها، نظرا لقيود Azure البالغة 10 Event Hub لكل مساحة اسم Event Hub.

على سبيل المثال:

قسم مراكز الأحداث في مدخل Microsoft Azure

إذا اخترت هذا الخيار، يمكنك التخطي إلى قسم تكوين Microsoft Defender XDR لإرسال جداول البريد الإلكتروني .

قم بإنشاء مراكز الأحداث داخل مساحة الاسم الخاصة بك عن طريق تحديد Event Hub>+ Event Hub.

يسمح عدد الأقسام بمزيد من معدل النقل عبر التوازي، لذلك يوصى بزيادة هذا الرقم بناء على الحمل الذي تتوقعه. يوصى بالقيم الافتراضية لاستبقاء الرسائل والتقاطها من 1 وإيقاف التشغيل.

قسم إنشاء مراكز الأحداث في مدخل Microsoft Azure

بالنسبة لمراكز الأحداث هذه (وليس مساحة الاسم)، ستحتاج إلى تكوين نهج الوصول المشترك باستخدام مطالبات الإرسال والاستماع. انقر فوق نهج>الوصول المشترك لمركز الأحداث>+ إضافة ثم قم بإعطائه اسم النهج (غير مستخدم في مكان آخر) وتحقق من إرسالوالاستماع.

صفحة نهج الوصول المشترك في مدخل Microsoft Azure

تكوين Microsoft Defender XDR لإرسال جداول البريد الإلكتروني

إعداد Microsoft Defender XDR إرسال جداول البريد الإلكتروني إلى Splunk عبر مراكز الأحداث

  1. سجل الدخول إلى Microsoft Defender XDR باستخدام حساب يلبي جميع متطلبات الدور التالية:

    • دور المساهم على مستوى مورد مساحة اسم مراكز الأحداث أو أعلى لمراكز الأحداث التي ستقوم بالتصدير إليها. بدون هذا الإذن، ستحصل على خطأ تصدير عند محاولة حفظ الإعدادات.

    • دور مسؤول الأمان على المستأجر المرتبط ب Microsoft Defender XDR وAzure.

      صفحة الإعدادات في مدخل Microsoft Defender

  2. انقر فوق تصدير > البيانات الأولية +إضافة.

    ستستخدم الآن البيانات التي سجلتها أعلاه.

    الاسم: هذه القيمة محلية ويجب أن تكون أيا كان ما يعمل في بيئتك.

    إعادة توجيه الأحداث إلى مركز الأحداث: حدد خانة الاختيار هذه.

    معرف مورد Event-Hub: هذه القيمة هي معرف مورد مساحة اسم مراكز الأحداث الذي سجلته عند إعداد مراكز الأحداث.

    اسم Event-Hub: إذا قمت بإنشاء مراكز أحداث داخل مساحة اسم مراكز الأحداث، فلصق اسم مراكز الأحداث الذي سجلته أعلاه.

    إذا اخترت السماح ل Microsoft Defender XDR بإنشاء مراكز الأحداث لكل أنواع الأحداث (الجداول)، فاترك هذا الحقل فارغا.

    أنواع الأحداث: حدد جداول التتبع المتقدمة التي تريد إعادة توجيهها إلى مراكز الأحداث ثم إلى تطبيقك المخصص. جداول التنبيه من Microsoft Defender XDR، وجداول الأجهزة من Microsoft Defender لنقطة النهاية (EDR)، وجداول البريد الإلكتروني من Microsoft Defender ل Office 365. تسجل أحداث البريد الإلكتروني جميع معاملات البريد الإلكتروني. يتم أيضا تسجيل عنوان URL (الارتباطات الآمنة) والمرفقات (المرفقات الآمنة) وأحداث ما بعد التسليم (ZAP) ويمكن ضمها إلى أحداث البريد الإلكتروني على الحقل NetworkMessageId.

    صفحة إعدادات واجهة برمجة تطبيقات البث في مدخل Microsoft Azure

  3. تأكد من النقر فوق إرسال.

تحقق من تصدير الأحداث إلى مراكز الأحداث

يمكنك التحقق من إرسال الأحداث إلى مراكز الأحداث عن طريق تشغيل استعلام تتبع متقدم أساسي. حدد "Hunting>Advanced Hunting>Query " وأدخل الاستعلام التالي:

EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count

سيعرض لك هذا الاستعلام عدد رسائل البريد الإلكتروني التي تم تلقيها في الساعة الأخيرة المنضمة عبر جميع الجداول الأخرى. كما سيعرض لك ما إذا كنت ترى الأحداث التي يمكن تصديرها إلى مراكز الأحداث. إذا كان هذا العدد يظهر 0، فلن ترى أي بيانات تخرج إلى مراكز الأحداث.

صفحة التتبع المتقدمة في مدخل Microsoft Azure

بمجرد التحقق من وجود بيانات لتصديرها، يمكنك عرض صفحة مراكز الأحداث للتحقق من أن الرسائل واردة. قد تستغرق هذه العملية ما يصل إلى ساعة واحدة.

  1. في Azure، انتقل إلى Event Hub> انقر فوق Namespace>Event Hub> انقر فوق Event Hub.
  2. ضمن نظرة عامة، قم بالتمرير لأسفل وفي الرسم البياني للرسائل، يجب أن تشاهد الرسائل الواردة. إذا لم تشاهد أي نتائج، فلن تكون هناك رسائل لتطبيقك المخصص لاستيعابها.

صفحة نظرة عامة في مدخل Microsoft 365 Azure

استخدام واجهة برمجة تطبيقات أمان Microsoft Graph - Microsoft Graph | Microsoft Learn

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.