إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تبحث فرق مركز عمليات الأمان (SOC) عن طرق لتحسين العمليات والنتائج والتأكد من أن لديك البيانات اللازمة لمعالجة المخاطر دون تكاليف استيعاب إضافية. فرق SOC تريد التأكد من أن لديك كل البيانات اللازمة للتعامل ضد المخاطر، دون دفع ثمن بيانات أكثر من اللازم. في الوقت نفسه، يجب على فرق SOC أيضا ضبط عناصر التحكم في الأمان مع تغير التهديدات وأولويات الأعمال، والقيام بذلك بسرعة وكفاءة لزيادة عائد الاستثمار إلى أقصى حد.
تحسينات SOC هي توصيات قابلة للتنفيذ تظهر طرقا يمكنك من خلالها تحسين عناصر التحكم في الأمان، والحصول على قيمة أكبر من خدمات أمان Microsoft مع مرور الوقت. تساعدك التوصيات على تقليل التكاليف دون التأثير على احتياجات SOC أو تغطيتها، ويمكن أن تساعدك على إضافة عناصر التحكم في الأمان والبيانات عند الحاجة. تم تصميم هذه التحسينات وفقا للبيئة الخاصة بك واستنادا إلى التغطية الحالية والمشهد الأفقي للمخاطر.
استخدم توصيات تحسين SOC لمساعدتك على سد فجوات التغطية ضد تهديدات محددة وتشديد معدلات الاستيعاب مقابل البيانات التي لا توفر قيمة أمان. تساعدك تحسينات SOC على تحسين مساحة عمل Microsoft Sentinel، دون أن تقضي فرق SOC بعض الوقت في التحليل اليدوي والبحث.
Important
يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.
بعد 31 مارس 2027، لن يكون Microsoft Sentinel مدعوما في بوابة Azure وسيكون متاحا فقط في بوابة Microsoft Defender. جميع العملاء الذين يستخدمون مايكروسوفت سينتينل في بوابة Azure سيتم تحويلهم إلى بوابة المدافعين وسيستخدمون مايكروسوفت سينتينل فقط في بوابة المدافعين. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.
إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.
شاهد الفيديو التالي للحصول على نظرة عامة وعرض توضيحي لتحسين SOC في مدخل Microsoft Defender. إذا كنت تريد فقط عرضا توضيحيا، فانتقل إلى الدقيقة 8:14.
Prerequisites
يستخدم تحسين SOC أدوار وأذونات Microsoft Sentinel القياسية. لمزيد من المعلومات، راجع الأدوار والأذونات في Microsoft Sentinel.
لاستخدام تحسين SOC في مدخل Defender، قم بإلحاق Microsoft Sentinel بمدخل Defender. لمزيد من المعلومات، راجع توصيل Microsoft Sentinel بمدخل Microsoft Defender.
الوصول إلى صفحة تحسين SOC
استخدم إحدى علامات التبويب التالية، اعتمادا على ما إذا كنت تعمل في مدخل Microsoft Azure أو مدخل Defender. عند إلحاق مساحة العمل الخاصة بك إلى مدخل Defender، تتضمن تحسينات SOC تغطية من جميع خدمات أمان Microsoft.
في بوابة المدافع، اختر تحسين SOC.
فهم مقاييس نظرة عامة على تحسين SOC
مقاييس التحسين المعروضة في أعلى تبويب النظرة العامة تمنحك فهما عاليا لمدى كفاءة استخدامك لبياناتك، وستتغير مع الوقت مع تنفيذ التوصيات.
المقاييس المدعومة في أعلى تبويب النظرة العامة تشمل:
| Title | Description |
|---|---|
| قيمة التحسين الأخيرة | إظهار القيمة المكتسبة استنادا إلى التوصيات التي نفذتها مؤخرا |
| البيانات الموصولة | إظهار إجمالي البيانات التي تم استيعابها في مساحة العمل الخاصة بك خلال آخر 90 يوما. |
| تحسينات التغطية المستندة إلى التهديدات | يظهر أحد مؤشرات التغطية التالية، استنادا إلى عدد قواعد التحليلات الموجودة في مساحة العمل الخاصة بك، مقارنة بعدد القواعد الموصى بها من قبل فريق أبحاث Microsoft: - أعلى النتائج: يتم تفعيل أكثر من 75% من القواعد الموصى بها - متوسط: 30%-74% من القواعد الموصى بها تفعيل - الحد الأدنى: 0%-29% من القواعد الموصى بها يتم تفعيلها. حدد عرض جميع سيناريوهات التهديد لعرض القائمة الكاملة للسيناريوهات ذات الصلة بالتهديدات والسيناريوهات المستندة إلى المخاطر، والكشف النشط والموصى به، ومستويات التغطية. ثم حدد سيناريو التهديد للتنقل لأسفل لمزيد من التفاصيل حول التوصية في صفحة تفاصيل سيناريو التهديد منفصلة. |
| حالة التحسين | يعرض عدد التحسينات الموصى بها النشطة والمكتملة والمتجاهلة حاليا. |
عرض توصيات التحسين وإدارتها
في بوابة Defender، يتم إدراج توصيات تحسين SOC في منطقة تحسيناتك في تبويب تحسينات SOC .
يتم حساب توصيات تحسين SOC كل 24 ساعة. تتضمن كل بطاقة تحسين الحالة والعنوان وتاريخ إنشائها ووصفا عالي المستوى ومساحة العمل التي تنطبق عليها.
تحسينات المرشح
قم بتصفية التحسينات استنادا إلى نوع التحسين، أو ابحث عن عنوان تحسين معين باستخدام مربع البحث على الجانب. تتضمن أنواع التحسين ما يلي:
-
التغطية : تتضمن توصيات لمساعدتك على سد فجوات التغطية ضد تهديدات محددة وتشديد معدلات الاستهلاك ضد البيانات التي لا توفر قيمة أمنية. وتشمل توصيات التغطية ما يلي:
- توصيات قائمة على التهديدات لإضافة ضوابط أمنية للمساعدة في سد فجوات التغطية لأنواع مختلفة من الهجمات.
- الذكاء الاصطناعي توصيات MITRE ATT&CK لإضافة توصيات وضع العلامات للمساعدة في سد فجوات التغطية للأنواع المختلفة من الهجمات، استنادا إلى إطار عمل MITRE ATT&CK.
- توصيات قائمة على المخاطر لإضافة ضوابط أمنية للمساعدة في سد فجوات التغطية لأنواع مختلفة من مخاطر الأعمال.
- قيمة البيانات: تتضمن توصيات تقترح طرقا لتحسين استخدام البيانات لتعظيم قيمة الأمان من البيانات المدمرة، أو تقترح خطة بيانات أفضل لمؤسستك.
عرض تفاصيل التحسين واتخاذ إجراء
حدد إحدى علامات التبويب التالية، استنادا إلى المدخل الذي تستخدمه:
في كل بطاقة تحسين، اختر عرض التفاصيل لرؤية وصف كامل للملاحظة التي أدت إلى التوصية، والقيمة التي تراها في بيئتك عند تنفيذ تلك التوصية.
لتحسينات التغطية المستندة إلى التهديدات:
- التبديل بين المخططات العنكبوتية لفهم التغطية الخاصة بك عبر تكتيكات وتقنيات مختلفة، استنادا إلى الاكتشافات المعرفة من قبل المستخدم وخارج الصندوق النشطة في بيئتك.
- حدد عرض سيناريو التهديد في MITRE ATT&CK للانتقال إلى صفحة MITRE ATT&CK في Microsoft Sentinel، التصفية المسبقة لسيناريو التهديد الخاص بك. لمزيد من المعلومات، راجع [فهم تغطية الأمان بواسطة إطار عمل MITRE ATT&CK®].
مرر لأسفل إلى أسفل جزء التفاصيل للحصول على ارتباط إلى حيث يمكنك اتخاذ الإجراءات الموصى بها. على سبيل المثال:
إذا كان التحسين يتضمن توصيات لإضافة قواعد التحليلات، فحدد الانتقال إلى مركز المحتوى.
إذا تضمن التحسين توصيات لنقل جدول إلى سجلات أساسية، اختر تغيير الخطة.
للحصول على تحسينات التغطية المستندة إلى التهديدات، حدد عرض سيناريو التهديد الكامل للاطلاع على القائمة الكاملة للتهديدات ذات الصلة، والكشف النشط والموصى به، ومستويات التغطية. من هناك يمكنك الانتقال مباشرة إلى مركز المحتوى لتفعيل أي اكتشافات موصى بها، أو إلى صفحة MITRE ATT&CK لعرض تغطية MITRE ATT&CK الكاملة للسيناريو المختار. على سبيل المثال:
إذا قمت بتثبيت قالب قاعدة تحليلات من مركز المحتوى دون تثبيت الحل، يظهر القالب المثبت فقط في الحل.
قم بتثبيت الحل الكامل لمشاهدة جميع عناصر المحتوى المتوفرة من الحل المحدد. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.
إدارة التحسينات
بشكل افتراضي، حالات التحسين هي نشطة. غير حالاتهم مع تقدم فرقك من خلال الفرز وتنفيذ التوصيات.
إما اختيار قائمة الخيارات أو اختيار عرض التفاصيل لاتخاذ أحد الإجراءات التالية:
| Action | Description |
|---|---|
| Complete | أكمل تحسينا عند إكمال كل إجراء موصى به. إذا تم اكتشاف تغيير في بيئتك يجعل التوصية غير ذات صلة، يتم إكمال التحسين تلقائيا ونقله إلى تبويب المكتمل . على سبيل المثال، قد يكون لديك تحسين يتعلق بجدول غير مستخدم مسبقا. إذا تم استخدام الجدول الخاص بك الآن في قاعدة تحليلات جديدة، فإن توصية التحسين الآن غير ذات صلة. في مثل هذه الحالات، يظهر لافتة في تبويب النظرة العامة مع عدد التحسينات التي تم إكمالها تلقائيا منذ زيارتك الأخيرة. |
| وضع علامة كقيد التقدم / وضع علامة نشط | ضع علامة على التحسين على أنه قيد التقدم أو نشط لإعلام أعضاء الفريق الآخرين بأنك تعمل عليه بنشاط. استخدم هاتين الحالتين بمرونة، ولكن باستمرار، حسب الحاجة لمؤسستك. |
| Dismiss | تجاهل التحسين إذا كنت لا تخطط لاتخاذ الإجراء الموصى به ولم تعد ترغب في رؤيته في القائمة. |
| تقديم ملاحظات | ندعوك لمشاركة أفكارك حول الإجراءات الموصى بها مع فريق Microsoft! عند مشاركة ملاحظاتك، احرص على عدم مشاركة أي بيانات سرية. لمزيد من المعلومات، راجع بيان خصوصية Microsoft. |
عرض التحسينات المكتملة والمستبعدة
إذا قمت بوضع علامة على تحسين معين كتم اكتماله أو مرفوض، أو إذا تم إكمال التحسين تلقائيا، فإنه يدرج في تبويبات الاكتمالوالمرفوض على التوالي.
من هنا، حدد قائمة الخيارات أو حدد عرض التفاصيل الكاملة لاتخاذ أحد الإجراءات التالية:
إعادة تنشيط التحسين، وإرساله مرة أخرى إلى علامة التبويب نظرة عامة . تتم إعادة حساب التحسينات المعاد تنشيطها لتوفير القيمة والإجراءات الأكثر تحديثا. قد تستغرق إعادة حساب هذه التفاصيل ما يصل إلى ساعة، لذا انتظر قبل التحقق من التفاصيل والإجراءات الموصى بها مرة أخرى.
قد تنتقل التحسينات المعاد تفعيلها مباشرة إلى تبويب المكتمل إذا تبين بعد إعادة حساب التفاصيل أنها لم تعد ذات صلة.
قدم المزيد من الملاحظات إلى فريق Microsoft. عند مشاركة ملاحظاتك، احرص على عدم مشاركة أي بيانات سرية. لمزيد من المعلومات، راجع بيان خصوصية Microsoft.
تدفق استخدام تحسين SOC
يوفر هذا القسم عينة من التدفق لاستخدام تحسينات SOC، إما من مدخل Defender أو Azure:
في صفحة تحسين SOC ، ابدأ بفهم لوحة التحكم:
- لاحظ أهم المقاييس لحالة التحسين الشاملة.
- راجع توصيات التحسين لقيمة البيانات والتغطية المستندة إلى التهديد.
استخدم توصيات التحسين لتحديد الجداول ذات الاستخدام المنخفض، مما يشير إلى أنها لا تستخدم للكشف. حدد عرض التفاصيل الكاملة للاطلاع على حجم البيانات غير المستخدمة وتكلفتها. خذ بعين الاعتبار أحد الإجراءات التالية:
أضف قواعد التحليلات لاستخدام الجدول لحماية محسنة. لاستخدام هذا الخيار، حدد الانتقال إلى مركز المحتوى لعرض وتكوين قوالب قواعد تحليلية محددة خارج الصندوق تستخدم الجدول المحدد. في مركز المحتوى، لا تحتاج إلى البحث عن القاعدة ذات الصلة، حيث يتم نقلك مباشرة إلى القاعدة ذات الصلة.
إذا كانت القواعد التحليلية الجديدة تتطلب مصادر سجل إضافية، ففكر في استيعابها لتحسين تغطية التهديدات.
لمزيد من المعلومات، راجع اكتشاف وإدارة محتوى Microsoft Sentinel الجاهز واكتشاف التهديدات الجاهزة.
تغيير مستوى التزامك لتحقيق وفورات في التكاليف. لمزيد من المعلومات، راجع تقليل تكاليف Microsoft Sentinel.
استخدم توصيات التحسين لتحسين التغطية ضد تهديدات محددة. على سبيل المثال، لتحسين برامج الفدية الضارة التي يديرها الإنسان:
حدد عرض التفاصيل الكاملة للاطلاع على التغطية الحالية والتحسينات المقترحة.
حدد عرض جميع تحسينات تقنية MITRE ATT&CK للتنقل لأسفل وتحليل التكتيكات والتقنيات ذات الصلة، مما يساعدك على فهم فجوة التغطية.
حدد الانتقال إلى مركز المحتوى لعرض جميع محتويات الأمان الموصى بها، التي تمت تصفيتها خصيصا لهذا التحسين.
بعد تكوين قواعد جديدة أو إجراء تغييرات، ضع علامة على التوصية كمكتملة أو اسمح للنظام بتحديثها تلقائيا.