توصيات للمراقبة والكشف عن التهديدات
ينطبق على توصية قائمة التحقق من أمان Azure Well-Architected Framework هذه:
| SE:10 | تنفيذ استراتيجية مراقبة شاملة تعتمد على آليات حديثة للكشف عن التهديدات يمكن دمجها مع النظام الأساسي. يجب أن تنبه الآليات بشكل موثوق لفرز وإرسال الإشارات إلى عمليات SecOps الحالية. |
|---|
يصف هذا الدليل توصيات المراقبة والكشف عن التهديدات. المراقبة هي في الأساس عملية للحصول على معلومات حول الأحداث التي حدثت بالفعل. المراقبة الأمنية هي ممارسة لالتقاط المعلومات على ارتفاعات مختلفة من حمل العمل (البنية التحتية والتطبيق والعمليات) للتوعية بالأنشطة المشبوهة. الهدف هو التنبؤ بالحوادث والتعلم من الأحداث السابقة. توفر بيانات المراقبة الأساس لتحليل ما بعد الحوادث لما حدث للمساعدة في الاستجابة للحوادث والتحقيقات الجنائية.
المراقبة هي نهج التميز التشغيلي الذي يتم تطبيقه عبر جميع ركائز إطار Well-Architected. يوفر هذا الدليل توصيات فقط من منظور الأمان. المفاهيم العامة للمراقبة، مثل أدوات التعليمات البرمجية وجمع البيانات والتحليل، خارج نطاق هذا الدليل. للحصول على معلومات حول مفاهيم المراقبة الأساسية، راجع توصيات لتصميم وبناء إطار عمل للمراقبة.
التعريفات
| المصطلح | التعريف |
|---|---|
| سجلات التدقيق | سجل الأنشطة في النظام. |
| إدارة معلومات الأمان والأحداث (SIEM) | نهج يستخدم قدرات الكشف عن التهديدات والذكاء المضمنة استنادا إلى البيانات المجمعة من مصادر متعددة. |
| الكشف عن التهديدات | استراتيجية للكشف عن الانحرافات عن الإجراءات المتوقعة باستخدام البيانات المجمعة والتحليلية والمترابطة. |
| التحليل الذكي للمخاطر | استراتيجية لتفسير بيانات الكشف عن التهديدات للكشف عن النشاط أو التهديدات المشبوهة من خلال فحص الأنماط. |
| منع التهديدات | عناصر التحكم الأمنية التي يتم وضعها في حمل العمل على ارتفاعات مختلفة لحماية أصولها. |
استراتيجيات التصميم الرئيسية
الغرض الرئيسي من مراقبة الأمان هو الكشف عن التهديدات. الهدف الأساسي هو منع الاختراقات الأمنية المحتملة والحفاظ على بيئة آمنة. ومع ذلك، من المهم بنفس القدر الاعتراف بأنه لا يمكن حظر جميع التهديدات بشكل استباقي. وفي مثل هذه الحالات، تعمل المراقبة أيضا كآلية لتحديد سبب وقوع حادث أمني على الرغم من جهود الوقاية.
يمكن التعامل مع المراقبة من وجهات نظر مختلفة:
مراقبة على ارتفاعات مختلفة. المراقبة من ارتفاعات مختلفة هي عملية الحصول على معلومات حول تدفقات المستخدم والوصول إلى البيانات والهوية والشبكات وحتى نظام التشغيل. تقدم كل من هذه المجالات رؤى فريدة يمكن أن تساعدك على تحديد الانحرافات عن السلوكيات المتوقعة التي تم إنشاؤها مقابل أساس الأمان. وعلى العكس من ذلك، يمكن أن تساعد المراقبة المستمرة للنظام والتطبيقات بمرور الوقت في وضع هذا الوضع الأساسي. على سبيل المثال، قد ترى عادة حوالي 1000 محاولة تسجيل دخول في نظام الهوية الخاص بك كل ساعة. إذا اكتشفت المراقبة ارتفاعا في 50000 محاولة تسجيل دخول خلال فترة قصيرة، فقد يحاول المهاجم الوصول إلى نظامك.
المراقبة في نطاقات مختلفة من التأثير. من الضروري مراقبة التطبيق والنظام الأساسي. افترض أن مستخدم التطبيق يحصل عن طريق الخطأ على امتيازات متصاعدة أو حدوث خرق أمني. إذا قام المستخدم بتنفيذ إجراءات خارج النطاق المعين، فقد يقتصر التأثير على الإجراءات التي يمكن للمستخدمين الآخرين تنفيذها.
ومع ذلك، إذا عرض كيان داخلي قاعدة بيانات للخطر، فإن مدى الضرر المحتمل غير مؤكد.
إذا حدث اختراق على جانب مورد Azure، فقد يكون التأثير عموميا، مما يؤثر على جميع الكيانات التي تتفاعل مع المورد.
يمكن أن يكون نصف قطر الانفجار أو نطاق التأثير مختلفا بشكل كبير، اعتمادا على أي من هذه السيناريوهات يحدث.
استخدم أدوات المراقبة المتخصصة. من الضروري الاستثمار في أدوات متخصصة يمكنها إجراء فحص مستمر للسلوك الشاذ الذي قد يشير إلى هجوم. تحتوي معظم هذه الأدوات على قدرات التحليل الذكي للمخاطر التي يمكنها إجراء تحليل تنبؤي استنادا إلى حجم كبير من البيانات والتهديدات المعروفة. معظم الأدوات ليست عديمة الحالة وتتضمن فهما عميقا لبيانات تتبع الاستخدام في سياق الأمان.
يجب أن تكون الأدوات متكاملة مع النظام الأساسي أو على الأقل على دراية بالنظام الأساسي للحصول على إشارات عميقة من النظام الأساسي وإجراء تنبؤات بدقة عالية. يجب أن يكونوا قادرين على إنشاء تنبيهات في الوقت المناسب مع معلومات كافية لإجراء الفرز المناسب. يمكن أن يؤدي استخدام العديد من الأدوات المتنوعة إلى التعقيد.
استخدم المراقبة للاستجابة للحوادث. تتيح البيانات المجمعة، التي يتم تحويلها إلى معلومات قابلة للتنفيذ، ردود فعل سريعة وفعالة على الحوادث. تساعد المراقبة في أنشطة ما بعد الحادث. الهدف هو جمع بيانات كافية لتحليل وفهم ما حدث. تلتقط عملية المراقبة معلومات حول الأحداث السابقة لتعزيز القدرات التفاعلية والتنبؤ بالحوادث المستقبلية.
توفر الأقسام التالية ممارسات موصى بها تتضمن وجهات نظر المراقبة السابقة.
التقاط البيانات للاحتفاظ بتتبع الأنشطة
والهدف من ذلك هو الحفاظ على سجل تدقيق شامل للأحداث المهمة من منظور أمني. التسجيل هو الطريقة الأكثر شيوعا لالتقاط أنماط الوصول. يجب إجراء التسجيل للتطبيق والنظام الأساسي.
للحصول على سجل تدقيق، تحتاج إلى إنشاء ما ومتى ومن المقترن بالإجراءات. تحتاج إلى تحديد الإطارات الزمنية المحددة عند تنفيذ الإجراءات. قم بإجراء هذا التقييم في نمذجة المخاطر الخاصة بك. لمواجهة تهديد الإنكار، يجب عليك إنشاء أنظمة تسجيل وتدقيق قوية تؤدي إلى سجل الأنشطة والمعاملات.
تصف الأقسام التالية حالات الاستخدام لبعض الارتفاعات الشائعة لحمل العمل.
تدفقات مستخدم التطبيق
يجب تصميم التطبيق الخاص بك لتوفير رؤية وقت التشغيل عند حدوث الأحداث. حدد النقاط الهامة داخل التطبيق الخاص بك وقم بإنشاء تسجيل لهذه النقاط. على سبيل المثال، عندما يسجل مستخدم الدخول إلى التطبيق، قم بالتقاط هوية المستخدم وموقع المصدر والمعلومات الأخرى ذات الصلة. من المهم الاعتراف بأي تصعيد في امتيازات المستخدم والإجراءات التي يقوم بها المستخدم وما إذا كان المستخدم قد قام بالوصول إلى المعلومات الحساسة في مخزن بيانات آمن. تعقب الأنشطة الخاصة بالمستخدم وجلسة عمل المستخدم.
لتسهيل هذا التتبع، يجب وضع علامة على التعليمات البرمجية عبر التسجيل المنظم. يتيح القيام بذلك الاستعلام والتصفية السهلة والموحدة للسجلات.
هام
تحتاج إلى فرض التسجيل المسؤول للحفاظ على سرية وسلامة النظام الخاص بك. يجب ألا تظهر البيانات السرية والبيانات الحساسة في السجلات. كن على دراية بتسريب البيانات الشخصية ومتطلبات التوافق الأخرى عند التقاط بيانات السجل هذه.
مراقبة الهوية والوصول
احتفظ بسجل شامل لأنماط الوصول للتطبيق والتعديلات على موارد النظام الأساسي. لديك سجلات نشاط قوية وآليات الكشف عن التهديدات، خاصة للأنشطة المتعلقة بالهوية، لأن المهاجمين غالبا ما يحاولون التلاعب بالهويات للحصول على وصول غير مصرح به.
تنفيذ التسجيل الشامل باستخدام جميع نقاط البيانات المتوفرة. على سبيل المثال، قم بتضمين عنوان IP للعميل للتمييز بين نشاط المستخدم العادي والتهديدات المحتملة من المواقع غير المتوقعة. يجب أن يكون الخادم طابعا زمنيا لجميع أحداث التسجيل.
سجل جميع أنشطة الوصول إلى الموارد، مع تسجيل من يفعل ما يفعله ومتى يفعل ذلك. مثيلات تصعيد الامتيازات هي نقطة بيانات هامة يجب تسجيلها. يجب أيضا تسجيل الإجراءات المتعلقة بإنشاء الحساب أو حذفه بواسطة التطبيق. تمتد هذه التوصية إلى أسرار التطبيق. مراقبة من يصل إلى الأسرار ومتى يتم تدويرها.
على الرغم من أهمية تسجيل الإجراءات الناجحة، فإن فشل التسجيل ضروري من منظور الأمان. قم بتوثيق أي انتهاكات، مثل مستخدم يحاول إجراء ولكنه يواجه فشلا في التخويل، ومحاولات الوصول للموارد غير الموجودة، والإجراءات الأخرى التي تبدو مريبة.
مراقبة الشبكة
من خلال مراقبة حزم الشبكة ومصادرها ووجهاتها وبنياتها، يمكنك الحصول على رؤية لأنماط الوصول على مستوى الشبكة.
يجب أن يتيح تصميم التجزئة نقاط المراقبة عند الحدود لمراقبة ما يعبرها وتسجيل تلك البيانات. على سبيل المثال، مراقبة الشبكات الفرعية التي تحتوي على مجموعات أمان الشبكة التي تنشئ سجلات تدفق. راقب أيضا سجلات جدار الحماية التي تعرض التدفقات المسموح بها أو مرفوضة.
هناك سجلات وصول لطلبات الاتصال الواردة. تسجل هذه السجلات عناوين IP المصدر التي تبدأ الطلبات ونوع الطلب (GET وPOST) وجميع المعلومات الأخرى التي تشكل جزءا من الطلبات.
يعد تسجيل تدفقات DNS مطلبا كبيرا للعديد من المؤسسات. على سبيل المثال، يمكن أن تساعد سجلات DNS في تحديد المستخدم أو الجهاز الذي بدأ استعلام DNS معينا. من خلال ربط نشاط DNS بسجلات مصادقة المستخدم/الجهاز، يمكنك تعقب الأنشطة للعملاء الفرديين. غالبا ما تمتد هذه المسؤولية إلى فريق حمل العمل، خاصة إذا قاموا بنشر أي شيء يجعل طلبات DNS جزءا من عملياتهم. تحليل حركة مرور DNS هو جانب رئيسي من جوانب إمكانية مراقبة أمان النظام الأساسي.
من المهم مراقبة طلبات DNS غير المتوقعة أو طلبات DNS الموجهة نحو نقاط نهاية الأوامر والتحكم المعروفة.
المفاضلة: يمكن أن يؤدي تسجيل جميع أنشطة الشبكة إلى كمية كبيرة من البيانات. يمكن تسجيل كل طلب من الطبقة 3 في سجل تدفق، بما في ذلك كل معاملة تتجاوز حدود الشبكة الفرعية. لسوء الحظ، لا يمكن التقاط الأحداث السلبية فقط لأنه لا يمكن تحديدها إلا بعد حدوثها. اتخاذ قرارات استراتيجية حول نوع الأحداث التي يجب التقاطها ومدة تخزينها. إذا لم تكن حذرا، يمكن أن تكون إدارة البيانات مرهقة. هناك أيضا مفاضلة على تكلفة تخزين تلك البيانات.
بسبب المقايضات، يجب مراعاة ما إذا كانت فائدة مراقبة الشبكة لحمل العمل الخاص بك كافية لتبرير التكاليف. إذا كان لديك حل تطبيق ويب بحجم طلب كبير وكان نظامك يستخدم موارد Azure المدارة على نطاق واسع، فقد تفوق التكلفة الفوائد. من ناحية أخرى، إذا كان لديك حل مصمم لاستخدام الأجهزة الظاهرية مع منافذ وتطبيقات مختلفة، فقد يكون من المهم التقاط سجلات الشبكة وتحليلها.
التقاط تغييرات النظام
للحفاظ على تكامل النظام الخاص بك، يجب أن يكون لديك سجل دقيق ومحدث لحالة النظام. إذا كانت هناك تغييرات، يمكنك استخدام هذا السجل لمعالجة أي مشكلات تنشأ على الفور.
يجب أن تصدر عمليات البناء أيضا بيانات تتبع الاستخدام. يعد فهم سياق الأمان للأحداث أمرا أساسيا. يمكن أن توفر معرفة ما أدى إلى تشغيل عملية البناء، ومن قام بتشغيلها، ومتى تم تشغيلها رؤى قيمة.
تعقب وقت إنشاء الموارد ومتى يتم إيقاف تشغيلها. يجب استخراج هذه المعلومات من النظام الأساسي. توفر هذه المعلومات رؤى قيمة لإدارة الموارد والمساءلة.
مراقبة الانحراف في تكوين الموارد. توثيق أي تغيير في مورد موجود. تابع أيضا التغييرات التي لا تكتمل كجزء من الإطلاق إلى أسطول من الموارد. يجب أن تلتقط السجلات تفاصيل التغيير والوقت الدقيق الذي حدث فيه.
لديك نظرة شاملة، من منظور التصحيح، لمعرفة ما إذا كان النظام محدثا وآمنا. مراقبة عمليات التحديث الروتينية للتحقق من اكتمالها كما هو مخطط لها. يجب اعتبار عملية تصحيح الأمان التي لم تكتمل ثغرة أمنية. يجب عليك أيضا الاحتفاظ بمخزون يسجل مستويات التصحيح وأي تفاصيل مطلوبة أخرى.
ينطبق الكشف عن التغيير أيضا على نظام التشغيل. يتضمن ذلك تعقب ما إذا كانت الخدمات مضافة أو متوقفة عن التشغيل. ويشمل أيضا مراقبة إضافة مستخدمين جدد إلى النظام. هناك أدوات مصممة لاستهداف نظام تشغيل. فهي تساعد في المراقبة الأقل سياقا بمعنى أنها لا تستهدف وظائف حمل العمل. على سبيل المثال، مراقبة تكامل الملفات هي أداة مهمة تمكنك من تعقب التغييرات في ملفات النظام.
يجب عليك إعداد تنبيهات لهذه التغييرات، خاصة إذا كنت لا تتوقع حدوثها في كثير من الأحيان.
هام
عند طرحها في الإنتاج، تأكد من تكوين التنبيهات للقبض على النشاط الشاذ الذي تم اكتشافه على موارد التطبيق وعملية الإنشاء.
في خطط الاختبار الخاصة بك، قم بتضمين التحقق من صحة التسجيل والتنبيه كحالات اختبار ذات أولوية.
تخزين البيانات وتجميعها وتحليلها
يجب تخزين البيانات التي يتم جمعها من أنشطة المراقبة هذه في متلقي البيانات حيث يمكن فحصها وتطبيعها وربطها بدقة. يجب استمرار بيانات الأمان خارج مخازن البيانات الخاصة بالنظام. يجب أن تعمل أحواض المراقبة، سواء كانت مترجمة أو مركزية، على مصادر البيانات. لا يمكن أن تكون المتلقيات سريعة الزوال لأن المتلقيات هي مصدر أنظمة الكشف عن الاختراق.
يمكن أن تكون سجلات الشبكات مطولة وتأخذ مساحة تخزين. استكشاف مستويات مختلفة في أنظمة التخزين. يمكن أن تنتقل السجلات بشكل طبيعي إلى تخزين أكثر برودة بمرور الوقت. هذا الأسلوب مفيد لأن سجلات التدفق القديمة عادة لا تستخدم بنشاط وهي مطلوبة فقط عند الطلب. يضمن هذا الأسلوب إدارة تخزين فعالة مع ضمان إمكانية الوصول إلى البيانات التاريخية عندما تحتاج إلى ذلك.
عادة ما تكون تدفقات حمل العمل الخاص بك مركبة من مصادر تسجيل متعددة. يجب تحليل بيانات المراقبة بذكاء عبر جميع هذه المصادر. على سبيل المثال، سيحظر جدار الحماية نسبة استخدام الشبكة التي تصل إليها فقط. إذا كانت لديك مجموعة أمان شبكة حظرت بالفعل حركة مرور معينة، فلن تكون نسبة استخدام الشبكة هذه مرئية لجدار الحماية. لإعادة إنشاء تسلسل الأحداث، تحتاج إلى تجميع البيانات من جميع المكونات الموجودة في التدفق ثم تجميع البيانات من جميع التدفقات. هذه البيانات مفيدة بشكل خاص في سيناريو الاستجابة بعد الحدث عندما تحاول فهم ما حدث. ضبط الوقت الدقيق ضروري. لأغراض الأمان، تحتاج جميع الأنظمة إلى استخدام مصدر وقت الشبكة بحيث تكون متزامنة دائما.
الكشف المركزي عن التهديدات مع سجلات مرتبطة
يمكنك استخدام نظام مثل معلومات الأمان وإدارة الأحداث (SIEM) لدمج بيانات الأمان في موقع مركزي حيث يمكن ربطها عبر خدمات مختلفة. تحتوي هذه الأنظمة على آليات مدمجة للكشف عن التهديدات . يمكنهم الاتصال بموجزات خارجية للحصول على بيانات التحليل الذكي للمخاطر. تنشر Microsoft، على سبيل المثال، بيانات التحليل الذكي للمخاطر التي يمكنك استخدامها. يمكنك أيضا شراء موجزات التحليل الذكي للمخاطر من موفرين آخرين، مثل Anomali وFireEye. يمكن أن توفر هذه الموجزات رؤى قيمة وتعزز وضعك الأمني. للحصول على رؤى التهديد من Microsoft، راجع Security Insider.
يمكن لنظام SIEM إنشاء تنبيهات استنادا إلى البيانات المرتبطة والمتطبيعة. هذه التنبيهات هي مورد مهم أثناء عملية الاستجابة للحوادث.
عادة ما تتم إدارة أنظمة SIEM من قبل الفرق المركزية للمؤسسة. إذا لم يكن لدى مؤسستك واحدة، ففكر في الدعوة إليها. يمكن أن يخفف من عبء تحليل السجل اليدوي والارتباط للسماح بإدارة أمان أكثر كفاءة وفعالية.
توفر Microsoft بعض الخيارات الفعالة من حيث التكلفة. توفر العديد من منتجات Microsoft Defender وظيفة التنبيه لنظام SIEM، ولكن دون ميزة تجميع البيانات.
من خلال الجمع بين العديد من الأدوات الأصغر، يمكنك محاكاة بعض وظائف نظام SIEM. ومع ذلك، تحتاج إلى معرفة أن هذه الحلول مؤقتة قد لا تكون قادرة على إجراء تحليل الارتباط. يمكن أن تكون هذه البدائل مفيدة، ولكنها قد لا تحل محل وظيفة نظام SIEM مخصص بشكل كامل.
الكشف عن إساءة الاستخدام
كن استباقيا بشأن الكشف عن التهديدات وكن يقظا لعلامات إساءة الاستخدام، مثل هجمات القوة الغاشمة للهوية على مكون SSH أو نقطة نهاية RDP. على الرغم من أن التهديدات الخارجية قد تولد الكثير من الضوضاء، خاصة إذا كان التطبيق معرضا للإنترنت، فإن التهديدات الداخلية غالبا ما تكون مصدر قلق أكبر. يجب التحقيق على الفور في هجوم القوة الغاشمة غير المتوقع من مصدر شبكة موثوق به أو تكوين خاطئ غير مقصود، على سبيل المثال.
مواكبة ممارساتك المتصلبة. المراقبة ليست بديلا عن تقوية بيئتك بشكل استباقي. مساحة سطح أكبر عرضة لمزيد من الهجمات. تشديد عناصر التحكم بقدر الممارسة. الكشف عن الحسابات غير المستخدمة وتعطيلها، وإزالة المنافذ غير المستخدمة، واستخدام جدار حماية تطبيق ويب، على سبيل المثال. لمزيد من المعلومات حول تقنيات التصلب، راجع توصيات حول تقوية الأمان.
يمكن للكشف المستند إلى التوقيع فحص نظام بالتفصيل. يتضمن البحث عن علامات أو ارتباطات بين الأنشطة التي قد تشير إلى هجوم محتمل. قد تحدد آلية الكشف خصائص معينة تشير إلى نوع معين من الهجوم. قد لا يكون من الممكن دائما الكشف مباشرة عن آلية الأوامر والتحكم للهجوم. ومع ذلك، غالبا ما تكون هناك تلميحات أو أنماط مرتبطة بعملية أمر وتحكم معينة. على سبيل المثال، قد يشار إلى الهجوم بمعدل تدفق معين من منظور الطلب، أو قد يصل بشكل متكرر إلى المجالات التي لها نهايات محددة.
اكتشف أنماط وصول المستخدم الشاذة بحيث يمكنك تحديد الانحرافات عن الأنماط المتوقعة والتحقيق فيها. يتضمن ذلك مقارنة سلوك المستخدم الحالي بالسلوك السابق لاكتشاف الحالات الشاذة. على الرغم من أنه قد لا يكون من الممكن تنفيذ هذه المهمة يدويا، يمكنك استخدام أدوات التحليل الذكي للمخاطر للقيام بذلك. استثمر في أدوات تحليلات سلوك المستخدم والكيان (UEBA) التي تجمع سلوك المستخدم من بيانات المراقبة وتحللها. يمكن لهذه الأدوات غالبا إجراء تحليل تنبؤي يعين السلوكيات المشبوهة إلى أنواع محتملة من الهجوم.
الكشف عن التهديدات أثناء مراحل ما قبل التوزيع وما بعد التوزيع. أثناء مرحلة ما قبل التوزيع، ادمج فحص الثغرات الأمنية في المسارات واتخذ الإجراءات اللازمة بناء على النتائج. بعد التوزيع، استمر في إجراء فحص الثغرات الأمنية. يمكنك استخدام أدوات مثل Microsoft Defender للحاويات، والتي تفحص صور الحاوية. قم بتضمين النتائج في البيانات التي تم جمعها. للحصول على معلومات حول ممارسات التطوير الآمنة، راجع توصيات لاستخدام ممارسات التوزيع الآمنة.
استفد من آليات الكشف التي يوفرها النظام الأساسي والتدابير. على سبيل المثال، يمكن لجدار حماية Azure تحليل نسبة استخدام الشبكة وحظر الاتصالات بالوجهات غير الموثوق بها. يوفر Azure أيضا طرقا للكشف عن هجمات رفض الخدمة الموزعة (DDoS) والحماية منها.
تسهيل Azure
Azure Monitor توفّر إمكانية المراقبة خلال البيئة بأكملها. بدون تكوين، يمكنك الحصول تلقائيا على مقاييس النظام الأساسي وسجلات النشاط وسجلات التشخيص من معظم موارد Azure. توفر سجلات النشاط معلومات مفصلة عن التشخيص والتدقيق.
ملاحظة
سجلات النظام الأساسي غير متوفرة إلى أجل غير مسمى. تحتاج إلى الاحتفاظ بها حتى تتمكن من مراجعتها لاحقا لأغراض التدقيق أو التحليل دون اتصال. استخدم حسابات تخزين Azure للتخزين طويل الأجل/الأرشفة. في Azure Monitor، حدد فترة استبقاء عند تمكين إعدادات التشخيص لمواردك.
قم بإعداد التنبيهات استنادا إلى مقاييس وسجلات محددة مسبقا أو مخصصة للحصول على إعلامات عند اكتشاف أحداث أو حالات شاذة محددة متعلقة بالأمان.
لمزيد من المعلومات، راجع وثائق Azure Monitor.
يوفر Microsoft Defender للسحابة قدرات مضمنة للكشف عن التهديدات. يعمل على البيانات المجمعة ويحلل السجلات. نظرا لأنه على دراية بأنواع السجلات التي تم إنشاؤها، يمكنه استخدام القواعد المضمنة لاتخاذ قرارات مستنيرة. على سبيل المثال، فإنه يتحقق من قوائم عناوين IP التي يحتمل اختراقها وينشئ تنبيهات.
تمكين خدمات الحماية من التهديدات المضمنة لموارد Azure. على سبيل المثال، قم بتمكين Microsoft Defender لموارد Azure، مثل الأجهزة الظاهرية وقواعد البيانات والحاويات، للكشف عن التهديدات المعروفة وحمايتها.
يوفر Defender for Cloud إمكانات النظام الأساسي لحماية حمل العمل السحابي (CWPP) للكشف عن التهديدات لجميع موارد حمل العمل.
لمزيد من المعلومات، راجع ما هو Microsoft Defender للسحابة؟.
يمكن أن تتغذى التنبيهات التي تم إنشاؤها بواسطة Defender أيضا في أنظمة SIEM. Microsoft Sentinel هو العرض الأصلي. ويستخدم الذكاء الاصطناعي والتعلم الآلي للكشف عن التهديدات الأمنية والاستجابة لها في الوقت الفعلي. يوفر عرضا مركزيا لبيانات الأمان ويسهل تتبع التهديدات والتحقيق فيها بشكل استباقي.
لمزيد من المعلومات، راجع ما هو Microsoft Sentinel؟.
يمكن ل Microsoft Sentinel أيضا استخدام موجزات التحليل الذكي للمخاطر من مصادر مختلفة. لمزيد من المعلومات، راجع تكامل التحليل الذكي للمخاطر في Microsoft Sentinel.
يمكن ل Microsoft Sentinel تحليل سلوك المستخدم من بيانات المراقبة. لمزيد من المعلومات، راجع تحديد التهديدات المتقدمة باستخدام تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Sentinel.
يعمل Defender وMicrosoft Sentinel معا، على الرغم من بعض التداخل في الوظائف. يعزز هذا التعاون وضعك الأمني العام من خلال المساعدة على ضمان الكشف عن التهديدات والاستجابة لها بشكل شامل.
استفد من Azure Business Continuity Center لتحديد الثغرات في ملكية استمرارية الأعمال والدفاع ضد التهديدات مثل هجمات برامج الفدية الضارة والأنشطة الضارة وحوادث المسؤول المارقة. لمزيد من المعلومات، راجع ما هو Azure Business Continuity Center؟.
الشبكات
راجع جميع السجلات، بما في ذلك نسبة استخدام الشبكة الأولية، من أجهزة الشبكة.
سجلات مجموعة الأمان. مراجعة سجلات التدفق وسجلات التشخيص.
Azure Network Watcher. استفد من ميزة تسجيل الحزمة لتعيين التنبيهات والوصول إلى معلومات الأداء في الوقت الفعلي على مستوى الحزمة.
تسجيل الحزمة يتتبع حركة المرور داخل وخارج الأجهزة الظاهرية. يمكنك استخدامه لتشغيل عمليات الالتقاط الاستباقية استنادا إلى حالات شاذة محددة في الشبكة، بما في ذلك معلومات حول اختراقات الشبكة.
على سبيل المثال، راجع مراقبة الشبكات بشكل استباقي باستخدام التنبيهات ووظائف Azure باستخدام التقاط الحزمة.
الهوية
مراقبة أحداث المخاطر المتعلقة بالهوية على الهويات التي يُحتمل تعرضها للخطر ومعالجة تلك المخاطر. راجع أحداث المخاطر المبلغ عنها بهذه الطرق:
استخدم إعداد التقارير Microsoft Entra ID. لمزيد من المعلومات، راجع ما هي حماية الهوية؟ وحماية الهوية.
استخدم أعضاء واجهة برمجة تطبيقات الكشف عن مخاطر حماية الهوية للحصول على وصول برمجي إلى اكتشافات الأمان عبر Microsoft Graph. لمزيد من المعلومات، راجع riskDetection و riskyUser.
يستخدم Microsoft Entra ID خوارزميات التعلم الآلي التكيفية والاستدلالات وبيانات الاعتماد المخترقة المعروفة (أزواج اسم المستخدم وكلمة المرور) للكشف عن الإجراءات المشبوهة المتعلقة بحسابات المستخدمين الخاصة بك. يتم عرض أزواج اسم المستخدم وكلمة المرور هذه من خلال مراقبة الويب العام والداكن والعمل مع باحثي الأمان وإنفاذ القانون وفرق الأمان في Microsoft وغيرها.
تدفقات Azure
يدعو DevOps إلى تغيير إدارة أحمال العمل عبر التكامل المستمر والتسليم المستمر (CI/CD). تأكد من إضافة التحقق من صحة الأمان في البنية الأساسية لبرنامج ربط العمليات التجارية. اتبع الإرشادات الموضحة في تأمين Azure Pipelines.
الروابط ذات الصلة
- توصيات لتصميم وإنشاء إطار عمل لقابلية المراقبة
- Security Insider
- توصيات لتقوية الموارد
- توصيات لاستخدام ممارسات النشر الآمنة
- وثائق Azure Monitor
- ما هو Microsoft Defender for Cloud؟
- ما تعريف Microsoft Sentinel؟
- تكامل التحليل الذكي للمخاطر في Microsoft Sentinel
- تحديد التهديدات المتقدمة باستخدام تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Azure Sentinel
- البرنامج التعليمي: سجل نسبة استخدام الشبكة من وإلى الجهاز الظاهري باستخدام مدخل Microsoft Azure
- تسجيل حزمة بيانات
- مراقبة الشبكات بشكل استباقي باستخدام التنبيهات ووظائف Azure باستخدام التقاط الحزمة
- ماذا يُقصد بحماية الهوية؟
- حماية الهوية
- الكشف عن المخاطر
- مستخدم محفوف بالمخاطر
- تعرف على كيفية إضافة التحقق المستمر من الأمان إلى البنية الأساسية لبرنامج ربط العمليات التجارية CI/CD
قائمة التحقق من الأمان
راجع المجموعة الكاملة من التوصيات.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ