تحرير

مشاركة عبر

المراقبة الأمنية المختلطة باستخدام Microsoft Defender للسحابة وMicrosoft Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

توضح هذه البنية المرجعية كيفية استخدام Microsoft Defender for Cloud وMicrosoft Sentinel لمراقبة تكوين الأمان وبيانات تتبع الاستخدام لأحمال العمل المحلية وAzure وAzure Stack.

بناء الأنظمة

رسم تخطيطي يوضح عامل المراقبة محليا وكذلك على Azure الذي ينقل البيانات إلى Microsoft Defender for Cloud وMicrosoft Sentinel.

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

  • Microsoft Defender for Cloud. يقدم Microsoft نظامًا أساسيًا متقدمًا وموحدًا لإدارة الأمان لجميع مشتركي Azure. ينقسم Defender for Cloud كإدارة وضع الأمان السحابي (CSPM) والنظام الأساسي لحماية حمل العمل السحابي (CWPP). يتم تعريف CWPP من خلال حلول حماية الأمان التي تركز على حمل العمل، التي تستند عادة إلى عامل. يوفر Microsoft Defender for Cloud الحماية من التهديدات لأحمال عمل Azure، سواء في أماكن العمل أو في السحب الأخرى، بما في ذلك أنظمة تشغيل Windows وأجهزة Linux الظاهرية (VMs) والحاويات وقواعد البيانات وإنترنت الأشياء (IoT). عند التنشيط، يتم توزيع عامل تحليلات السجل تلقائيا في أجهزة Azure الظاهرية. بالنسبة إلى نظم تشغيل Windows المحلية وخوادم Linux والأجهزة الظاهرية، يمكنك توزيع العامل يدويا، أو استخدام أداة التوزيع الخاصة بمؤسستك، مثل Microsoft Endpoint Protection Manager، أو استخدام أساليب التوزيع النصية. يبدأ Defender for Cloud في تقييم حالة الأمان لجميع الأجهزة الظاهرية والشبكات والتطبيقات والبيانات.
  • Microsoft Sentinel. هو حل أساسي لإدارة معلومات الأمان والأحداث (SIEM) والاستجابة التلقائية لتنسيق الأمان (SOAR) يستخدم الذكاء الاصطناعي وتحليلات الأمان المتقدمة لمساعدتك في اكتشاف التهديدات وتعقبها ومنعها والاستجابة لها عبر مؤسستك.
  • Azure Stack. هي مجموعة من المنتجات التي توسع خدمات وقدرات Azure إلى البيئة التي تختارها، بما في ذلك مركز البيانات ومواقع الحافة والمكاتب البعيدة. تستخدم تطبيقات Azure Stack عادة رفوفا من أربعة إلى ستة عشر خادما تم إنشاؤها من قبل شركاء الأجهزة الموثوق بهم وتسليمها إلى مركز البيانات الخاص بك.
  • Azure Monitor. يجمع رصد بيانات تتبع الاستخدام من كل من الموارد المحلية وموارد Azure. كما تدفع أدوات الإدارة، مثل تلك الموجودة في Microsoft Defender for Cloud وAzure Automation، بيانات السجل إلى Azure Monitor.
  • مساحة عمل Log Analytics. يُخزن Azure Monitor بيانات السجل في مساحة عمل Log Analytics، وهي حاوية تتضمن البيانات ومعلومات التكوين.
  • عامل Log Analytics. يجمع عامل Log Analytics بيانات المراقبة من نظام التشغيل الضيف وأحمال عمل الجهاز الظاهري في Azure، ومن موفري السحابة الآخرين، ومن أماكن العمل. يدعم Log Analytics Agent تكوين الوكيل، وعادة في هذا السيناريو تعمل بوابة Microsoft Operations Management Suite (OMS) كوكيل.
  • شبكة محلية. هذا هو جدار الحماية المُكوّن لدعم خروج HTTPS من الأنظمة المُعرّفة.
  • أنظمة Windows وLinux المحلية. الأنظمة المُثبت عليها Log Analytics Agent.
  • أجهزة Azure Windows وLinux الظاهرية. الأنظمة المُثبت عليها عامل مراقبة Microsoft Defender for Cloud.

المكونات

تفاصيل السيناريو

حالات الاستخدام المحتملة

تتضمن الاستخدامات النموذجية لهذه البنية الأساسية هذه الحَالات:

  • أفضل الممارسات لدمج الأمان الداخلي وبيانات تتبع استخدام أحمال العمل المستندة إلى Azure
  • دمج Microsoft Defender for Cloud مع Azure Stack
  • دمج Microsoft Defender for Cloud مع Microsoft Sentinel

التوصيات

تنطبق التوصيات التالية على معظم السيناريوهات. اتبع هذه التوصيات ما لم يكن لديك متطلب محدد يلغيها.

Microsoft Defender لترقية السحابة

يمكن لـ Microsoft Defender for Cloud مراقبة الأنظمة الداخلية، وأجهزة Azure الظاهرية، وموارد Azure Monitor، وحتى الأجهزة الظاهرية المُستضافة على موفري السحابة الآخرين. يمكن معرفة المزيد من التفاصيل حول خطة أسعار Microsoft Defender for Cloud هنا.

تكوين مساحة عمل تحليلات السجل

يحتاج Microsoft Sentinel حق الوصول إلى مساحة عمل تحليلات السجل. في هذا السيناريو، لا يمكنك استخدام مساحة عمل Defender for Cloud Log Analytics الافتراضية مع Microsoft Azure Sentinel. بدلا من ذلك، يمكنك إنشاء مساحة عمل مخصصة. يستند استبقاء البيانات لمساحة عمل مخصصة على مستوى تسعير مساحة العمل، ويمكنك الاطلاع على نماذج تسعير سجلات المراقبة هنا.

إشعار

تعمل Microsoft Sentinel على مساحات العمل في أي منطقة تتيح توفر عام لتحليلات السجل عدا منطقتي الصين وألمانيا. يتم حفظ البيانات التي ينشئها Microsoft Sentinel، مثل الحوادث والإشارات المرجعية وقواعد التنبيه، التي قد تحتوي على بعض بيانات العملاء التي توفرها مساحات العمل هذه، إما في أوروبا (لمساحات العمل التي مقرها أوروبا)، أو في أستراليا (لمساحات العمل التي مقرها أستراليا)، أو في شرق الولايات المتحدة (لمساحات العمل التي تتخذ مقرا لها في أي منطقة أخرى).

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

الأمان

ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. للمزيد من المعلومات، يرجى الرجوع إلى نظرة عامة على ركيزة الأمان.

يحدد نهج الأمان مجموعة عناصر التحكم التي يُنصح بها للموارد ضمن اشتراك مُحدد أو مجموعة موارد مُحددة. في Microsoft Defender for Cloud، يمكنك تحديد نهج اشتراكات Azure وفقا لمتطلبات الأمان لشركتك ونوع التطبيقات أو حساسية البيانات لكل اشتراك.

نهج الأمان التي تقوم بتمكينها في Microsoft Defender for Cloud هي التي تشغل توصيات الأمان والمراقبة. لمعرفة المزيد حول نهج الأمان، راجع تقوية نهج الأمان باستخدام Microsoft Defender for Cloud. يمكنك تعيين نهج الأمان في Microsoft Defender for Cloud فقط على مستويات الإدارة أو مجموعة الاشتراك.

إشعار

يعرض الجزء الأول من البنية المرجعية تفاصيل حول كيفية تمكين Microsoft Defender for Cloud لمراقبة موارد Azure والأنظمة المحلية وأنظمة Azure Stack.

تحسين التكلفة

يركز تحسين التكلفة على البحث عن طرق للحد من النفقات غير الضرورية وتحسين الكفاءة التشغيلية. لمزيد من المعلومات، راجع نظرة عامة على ركيزة تحسين التكلفة.

كما هو موضح سابقا، يمكن أن تتضمن التكاليف التي تتجاوز اشتراك Azure ما يلي:

  1. تكاليف Microsoft Defender for Cloud. لمزيد من المعلومات، راجع خطة أسعار Defender for Cloud.
  2. توفر مساحة عمل Azure Monitor تفاصيل دقيقة للفوترة. لمزيد من المعلومات، راجع إدارة الاستخدام والتكاليف باستخدام سجلات Azure Monitor.
  3. تعد Microsoft Sentinel خدمة مدفوعة. لمزيد من المعلومات، راجع خطة أسعار Microsoft Sentinel.

التميز التشغيلي

يغطي التميز التشغيلي عمليات التشغيل التي تحافظ على تشغيل التطبيق في الإنتاج. لمزيد من المعلومات، يرجى مراجعةنظرة عامة على ركيزة التميز التشغيلي.

Microsoft Defender لأدوار السحابة

يقوم Defender for Cloud بتقييم تكوين مواردك لتحديد مشكلات الأمان والثغرات الأمنية، ويعرض المعلومات المتعلقة بمورد عند تعيين دور المالك أو المساهم أو القارئ للاشتراك أو مجموعة الموارد التي ينتمي إليها المورد.

بالإضافة إلى هذه الأدوار، هناك نوعان محددان من أدوار Defender for Cloud:

  • قارئ معلومات الأمان المستخدم صاحب هذا الدور لديه حقوق استعراض مركز Defender for Cloud فقط. يستطيع المستخدم عرض التوصيات والتنبيهات ونهج الأمان وحالة الأمان، ولكنه لا يستطيع تغيرها.

  • مسؤول الأمان:المستخدم صاحب هذا الدور لديه نفس حقوق قارئ الأمان ويستطيع أيضاً تحديث نهج الأمان وتجاهل التنبيهات والتوصيات. هؤلاء المستخدمون هم الذين يديرون حمل العمل.

  • أدوار الأمان، وقارئ الأمان و مسؤول الأمان، لديهم حق الوصول في Defender for Cloud فقط. أدوار الأمان لا تملك حق الوصول إلى مناطق خدمة أخرى من Azure مثل موقع التخزين أو مواقع الويب أو الجوال أو إنترنت الأشياء.

اشتراك Microsoft Sentinel

  • لتمكين Microsoft Sentinel، تحتاج إلى أذونات المساهم للاشتراك الذي توجد به مساحة عمل Microsoft Sentinel.
  • لاستخدام Microsoft Sentinel، تحتاج إما إلى أذونات مساهم أو قارئ لمجموعة الموارد التي تنتمي إليها مساحة العمل.
  • تعد Microsoft Sentinel خدمة مدفوعة. لمزيد من المعلومات، راجع خطة أسعار Microsoft Sentinel.

كفاءة الأداء

كفاءة الأداء هي قدرة حمل العمل الخاص بك على التوسع بطريقة فعالة لتلبية الطلبات التي يضعها المستخدمون عليها. لمزيد من المعلومات، يرجى مراجعةأنماط كفاءة الأداء.

صمم عامل تحليلات السجل لنظام Windows وLinux ليكون له تأثير طفيف على أداء الأجهزة الظاهرية أو الأنظمة الفعلية.

لا تتداخل عملية تشغيل Defender for Cloud مع إجراءات التشغيل العادية. بدلاً من ذلك، فإنه يراقب عمليات التوزيع الخاصة بك دون تدخل ويقدم توصيات بناءً على سياسات الأمان التي تقوم بتمكينها.

نشر هذا السيناريو

قم بإنشاء مساحة عمل Log Analytics في مدخل Azure

  1. سجل الدخول إلى مدخل Microsoft Azure كمستخدم يتمتع بامتيازات مسؤول الأمان.
  2. في مدخل Azure، حدد جميع الخدمات. في قائمة الموارد، اكتب تحليلات السجل. عندما تبدأ في الكتابة، تتم تصفية القائمة بناءً على إدخالك. حدّد مساحات عمل Log Analytics.
  3. حدد إضافة في صفحة تحليلات السجل.
  4. أدخل اسما لمساحة عمل تحليلات السجل الجديدة، مثل Defender for Cloud-SentinelWorkspace. يجب أن يكون هذا الاسم فريدًا على نحو عمومي عبر كافة اشتراكات Azure Monitor.
  5. حدّد اشتراك عن طريق التحديد من القائمة المنسدلة إذا كان الإعداد الافتراضي المحدد غير ملائم.
  6. بالنسبة لمجموعة الموارد، اختر استخدام مجموعة موارد موجودة معدة بالفعل أو أنشئ مجموعة موارد جديدة.
  7. بالنسبة للموقع، حدد موقعا جغرافيا متوفرا.
  8. انقر فوق OK لإتمام التكوين. مساحة عمل جديدة تم إنشاؤها للبنية

تمكين Defender for Cloud

أثناء تسجيل الدخول إلى مدخل Microsoft Azure كمستخدم لديه امتيازات مسؤول الأمان، حدد Defender for Cloud في اللوحة. نظرة عامة - Defender for Cloud تفتح:

يفتح جزء لوحة معلومات Defender for Cloud Overview

يمكن Defender for Cloud تلقائيًّا، دون أي تكلفة، أيًّا من اشتراكات Azure الخاص بك التي لم تشترك فيها بعد أو لم يستخدمها مشترك آخر.

ترقية Microsoft Defender for Cloud

  1. من قائمة Defender for Cloud، حدد البدء.
  2. حدد الزر ترقية الآن. يسرد Defender for Cloud اشتراكاتك ومساحات العمل المؤهلة للاستخدام.
  3. يمكنك تحديد مساحات العمل والاشتراكات المؤهلة لبدء الإصدار التجريبي. حدد مساحة العمل التي أنشأتها مسبقا، ASC-SentinelWorkspace. من القائمة المنسدلة.
  4. من قائمة Defender for Cloud، حدد بدء إصدار تجريبي.
  5. يجب عرض مربع الحوار تثبيت العوامل.
  6. حدد الزر تثبيت العوامل. تعرض شفرة Defender for Cloud - Coverage ويجب عليك مراقبة اشتراكك المحدد. يجب أن تكون شفرة تغطية الأمان التي تعرض اشتراكاتك مفتوحة

لقد قمت الآن بتمكين التوفير التلقائي وسيقوم Defender for Cloud بتثبيت عامل تحليلات السجل لنظام Windows (HealthService.exe) و omsagent لنظام Linux على جميع أجهزة Azure الظاهرية المدعومة وأي أجهزة جديدة تقوم بإنشائها. يمكنك إيقاف تشغيل هذا النهج وإدارته يدويا، لكننا نوصي بشدة بالتزويد التلقائي.

لمعرفة المزيد حول ميزات Defender for Cloud المحددة المتوفرة على Windows وLinux، راجع ميزة تغطية الأجهزة.

تمكين مراقبة Microsoft Defender for Cloud لأجهزة الكمبيوتر Windows المحلية

  1. في مدخل Microsoft Azure على لوحة Defender for Cloud - نظرة عامة، حدد علامة التبويب بدء الاستخدام.
  2. حدد تكوين ضمن إضافة أجهزة كمبيوتر لا تتبع Azure. تظهر قائمة بمساحات عمل تحليلات السجل، ويجب أن تتضمن Defender for Cloud-SentinelWorkspace.
  3. حدد مساحة العمل هذه. تفتح لوحة عامل مباشر مع ارتباط لتنزيل عامل Windows ومفاتيح لمعرف مساحة العمل (ID) لاستخدامها عند تكوين العامل.
  4. اختر رابط Download Windows Agent المُناسب لنوع معالج الحاسوب لتنزيل ملف الإعداد.
  5. على يمين معرّف مساحة عمل، حدد نسخ ثم الصق المعرف في المفكرة.
  6. على يمين المفتاح الأساسي، حدد نسخ، ثم الصق المفتاح في المفكرة.

تثبيت عامل Windows

لتثبيت العامل على أجهزة الكمبيوتر المستهدفة، اتبع هذه الخطوات.

  1. انسخ الملف إلى الكمبيوتر الهدف ثم قم بتشغيل الإعداد.
  2. في صفحة الترحيب ، حدد التالي.
  3. في صفحة شروط الترخيص، اقرأ الترخيص، ثم انقر فوق أوافق.
  4. في الصفحة ⁧المجلد الهدف⁧⁩ قم بتغيير مجلد التثبيت الافتراضي أو الاحتفاظ به، ثم حدد ⁧التالي⁧⁩.
  5. في صفحة خيارات تثبيت العامل، اختر تعين العامل إلى سجل تحليلات Azure، ثم انقر فوق التالي.
  6. على صفحة تحليلات سجل Azure، الصق معرّف مساحة عمل ومفتاح مساحة عمل (مفتاح أساسي) اللذان نسختهما للمفكرة.
  7. إذا تعيّن على الكمبيوتر إرسال تقارير إلى مساحة عمل تحليلات السجلات في سحابة Azure Government، اختر Azure US Government من القائمة المنسدلة Azure Cloud. إذا احتاج الكمبيوتر إلى الاتصال عبر خادم وكيل بخدمة تحليلات السجل، فحدد متقدموقم بتوفير عنوان URL للخادم الوكيل ورقم المنفذ.
  8. بعد توفير إعدادات التكوين الضرورية، حدد التالي. صفحة إعداد عامل تحليلات السجل لتوصيل العامل بمساحة عمل Azure Log Analytics
  9. في الصفحة ⁧جاهز للتثبيت⁧⁩، راجع اختياراتك، ثم حدد ⁧تثبيت⁧⁩.
  10. في صفحة Configuration completed successfully ، حدد Finish.

عند الانتهاء، يظهر عامل تحليلات السجل في لوحة التحكم Windows، ويمكنك مراجعة التكوين والتحقق من اتصال العامل.

لمزيد من المعلومات حول تثبيت العامل وتكوينه، راجع تثبيت عامل تحليلات السجل على أجهزة الكمبيوتر Windows.

تجمع خدمة عامل تحليلات السجل بيانات الأحداث والأداء، وتنفذ المهام، ومهام سير العمل الأخرى المحددة في حزمة الإدارة. يوسع Defender for Cloud منصات حماية حمل العمل السحابي الخاصة به من خلال التكامل مع Microsoft Defender for Servers. ويوفران معًا قدرات شاملة للكشف عن تهديدات نقاط النهاية والرد عليها.

لمزيد من المعلومات حول Microsoft Defender for Servers، راجع إلحاق الخوادم بخدمة Microsoft Defender for Servers.

تمكين مراقبة Microsoft Defender for Cloud لأجهزة الكمبيوتر المحلية على نظام Windows

  1. ارجع إلى علامة التبويب بدء الاستخدام كما هو موضح سابقا.
  2. حدد تكوين ضمن إضافة أجهزة كمبيوتر لا تتبع Azure. تظهر قائمة بمساحات عمل تحليلات السجلات. يجب أن تتضمن القائمة Defender for Cloud-SentinelWorkspace الذي قمت بإنشائه.
  3. في جزء عامل مباشر ضمن DOWNLOAD AND ONBOARD AGENT FOR LINUX، حدد نسخ لنسخ الأمر wget.
  4. افتح المفكرة ثم الصق هذا الأمر. احفظ الملف في موقع يُمكن الوصول إليه من كمبيوتر Linux.

إشعار

على أنظمة التشغيل Unix وLinux، الأمر wget هو أداة لتنزيل الملفات غير التفاعلية من الويب. وهو يدعم HTTPS وFTPs والوكلاء.

يستخدم عامل Linux إطار عمل Linux Audit Daemon. يدمج Defender for Cloud الوظائف من هذا الإطار داخل عامل تحليلات السجل، الذي يتيح جمع سجلات التدقيق وإثراءها وتجميعها في الأحداث باستخدام عامل تحليلات السجل لنظام Linux. يُضيف Defender for Cloud باستمرار تحليلات جديدة تستخدم إشارات Linux للكشف عن السلوكيات الخبيثة على السحابة وأجهزة Linux المحلية.

للحصول على قائمة بتنبيهات Linux، راجع الجدول المرجعي للتنبيهات.

تثبيت وكيل Linux

لتثبيت العامل على أجهزة الكمبيوتر المستهدفة، اتبع هذه الخطوات:

  1. على جهاز كمبيوتر Linux، افتح الملف الذي قمت بحفظه مسبقا. حدد المحتوى بأكمله وانسخه، وافتح وحدة تحكم طرفية، ثم الصق الأمر.
  2. عند اكتمال التثبيت، يمكنك التحقق من صحة تثبيت omsagent بتشغيل الأمر pgrep. سيعيد الأمر معرف عملية omsagent (PID). يمكنك العثور على سجلات العامل في: /var/opt/microsoft/omsagent/"workspace id"/log/.

قد يستغرق عرض كمبيوتر Linux الجديد في Defender for Cloud ما يصل إلى 30 دقيقة.

تمكين مراقبة Microsoft Defender for Cloud لأجهزة Azure Stack الظاهرية

بعد إعداد اشتراك Azure الخاص بك، يمكنك تمكين Defender for Cloud لحماية الأجهزة الظاهرية التي تعمل على Azure Stack عن طريق إضافة ملحق Azure Monitor والتحديث وإدارة التكوين من متجر Azure Stack. للقيام بذلك:

  1. ارجع إلى علامة التبويب بدء الاستخدام كما هو موضح سابقا.
  2. حدد تكوين ضمن إضافة أجهزة كمبيوتر لا تتبع Azure. تظهر قائمة بمساحات عمل تحليلات السجل، ويجب أن تتضمن Defender for Cloud-SentinelWorkspace التي أنشأتها.
  3. في لوحة عامل مباشر يوجد ارتباط لتنزيل العامل والمفاتيح لمعرف مساحة العمل الخاص بك لاستخدامه أثناء تكوين العامل. لا تحتاج إلى تنزيل العامل يدويا. سيتم تثبيته كملحق VM في الخطوات التالية.
  4. على يمين معرّف مساحة عمل، حدد نسخ ثم الصق المعرف في المفكرة.
  5. على يمين المفتاح الأساسي، حدد نسخ، ثم الصق المفتاح في المفكرة.

تمكين مراقبة Microsoft Defender for Cloud لأجهزة Azure Stack الظاهرية

يستخدم Microsoft Defender for Cloud ملحق Azure Monitor وتحديث وإدارة التكوين VM المجمع مع Azure Stack. لتمكين ملحق Azure Monitor والتحديث وإدارة التكوين، اتبع الخطوات التالية:

  1. في علامة تبويب مستعرض جديدة، سجل الدخول إلى مدخل Azure Stack.
  2. راجع صفحة الأجهزة الظاهرية، ثم حدد الجهاز الظاهري الذي تريد حمايته باستخدام Defender for Cloud.
  3. حدد Extensions. يتم عرض قائمة ملحقات الجهاز الظاهري المثبتة على هذا الجهاز الظاهري.
  4. اختر علامة التبويب إضافة. ستعرض لوحة موارد جديدة قائمة بالمُلحقات المُتاحة للجهاز الظاهري.
  5. اختر المُلحق Azure Monitor، وتحديث وإدارة التكوين واختر إنشاء. ستُفتح لوحة تثبيت ملحق.
  6. على لوحة تكوين تثبيت ملحق، الصق معرّف مساحة عمل ومفتاح مساحة عمل (مفتاح أساسي) اللذان نسختهما في المفكرة في الخطوة السابقة.
  7. حدد OK بعد الانتهاء من توفير إعدادات التكوين الضرورية.
  8. بمجرد اكتمال تثبيت الملحق، سيتم عرض حالته نجاح التزويد. قد يستغرق الأمر حوالي ساعة واحدة حتى يظهر VM في Defender for Cloud.

لمزيد من المعلومات حول تثبيت العامل وتكوينه لنظام Windows، راجع تثبيت العامل باستخدام معالج الإعداد.

لاستكشاف مشكلات عامل Linux وإصلاحها، راجع كيفية استكشاف المشكلات وإصلاحها مع عامل تحليلات السجل لنظام Linux.

الآن يمكنك مراقبة أجهزة Azure الظاهرية وأجهزة الكمبيوتر غير المتصلة بـ Azure في مكان واحد. يوفر لك حساب Azure نظرة عامة على جميع الأجهزة الظاهرية وأجهزة الكمبيوتر مرفق معهما التوصيات. يمثل كل عمود مجموعة واحدة من التوصيات، ويمثل اللون الأجهزة الظاهرية أو أجهزة الكمبيوتر وحالة الأمان الحالية لتلك التوصية. يوفر Defender for Cloud أيضا أي اكتشافات لأجهزة الكمبيوتر في تنبيهات الأمان. قائمة Defender for Cloud للأنظمة المراقبة على شفرة الحوسبة

هناك نوعان من الأيقونات التي تمثل شفرة الحساب :

أيقونة الكمبيوتر الأرجوانية التي تمثل جهاز كمبيوتر غير مراقب في Azure كمبيوتر غير Azure

أيقونة المحطة الطرفية الزرقاء التي تمثل جهاز كمبيوتر مراقب من Azure كمبيوتر Azure

إشعار

سيقوم الجزء الثاني من البنية المرجعية بتوصيل التنبيهات من Microsoft Defender for Cloud ودفقها إلى Microsoft Sentinel.

يتمثل دور Microsoft Sentinel في استيعاب البيانات من مصادر بيانات مختلفة وتنفيذ ارتباط البيانات عبر مصادر هذه البيانات. يستفيد Microsoft Sentinel من التعلم الآلي الذكاء الاصطناعي لجعل تتبع التهديدات والكشف عن التنبيهات والاستجابات للتهديدات أكثر ذكاء.

لإعداد Microsoft Sentinel، عليك تمكينها ثم توصيلها بمصادر بياناتك. يأتي Microsoft Sentinel مزودا بعدد من الموصلات لحلول Microsoft، والتي تتوفر خارج الصندوق وتوفر تكاملا في الوقت الحقيقي، بما في ذلك Microsoft Defender for Cloud وحلول الحماية من المخاطر من Microsoft ومصادر Microsoft 365 (بما في ذلك Office 365) ومعرف Microsoft Entra وMicrosoft Defender for Servers وMicrosoft Defender for Cloud Apps والمزيد. بالإضافة إلى ذلك، توجد موصلات مضمنة بالنظام الثنائي الأمني الأشمل للحلول غير التابعة لـ Microsoft. يمكنك أيضاً استخدام تنسيق الحدث الشائع أو Syslog أو REST API لتوصيل مصادر البيانات الخاصة بك بـ Microsoft Azure Sentinel.

متطلبات دمج Microsoft Sentinel مع Microsoft Defender for Cloud

  1. اشتراك Microsoft Azure
  2. مساحة عمل تحليلات السجل ليست مساحة العمل الافتراضية التي تم إنشاؤها عند تمكين Microsoft Defender for Cloud.
  3. Microsoft Defender for Cloud.

يجب أن تكون جميع المتطلبات الثلاثة في مكانها إذا كنت تعمل من خلال القسم السابق.

متطلبات النظام العالمية

  • لتمكين Microsoft Sentinel، تحتاج إلى أذونات المساهم للاشتراك الذي توجد به مساحة عمل Microsoft Sentinel.
  • لاستخدام Microsoft Sentinel، تحتاج إما إلى أذونات مساهم أو قارئ لمجموعة الموارد التي تنتمي إليها مساحة العمل.
  • قد تكون هناك حاجة إلى أذونات إضافية للاتصال بمصادر بيانات معينة. لا تحتاج إلى أذونات إضافية للاتصال بـ Defender for Cloud.
  • تعد Microsoft Sentinel خدمة مدفوعة. لمزيد من المعلومات، راجع خطة أسعار Microsoft Sentinel.

تمكين Microsoft Sentinel.

  1. سجل الدخول إلى مدخل Microsoft Azure بمستخدم لديه حقوق المساهم ل Defender for Cloud-Sentinelworkspace.
  2. ابحث عن وحدد Microsoft Sentinel. في مدخل Microsoft Azure ابحث عن مصطلح
  3. حدد إضافة.
  4. في لوحة Microsoft Sentinel، حدد Defender for Cloud-Sentinelworkspace.
  5. في Microsoft Sentinel، حدد موصلات البيانات من قائمة التنقل.
  6. من معرض موصلات البيانات، حدد Microsoft Defender for Cloud، وحدد الزر فتح صفحة الموصل. في Microsoft Sentinel يعرض صفحة Collectors المفتوحة
  7. ضمن التكوين، حدد الاتصال بجوار الاشتراكات التي تريد أن تتدفق التنبيهات إلى Microsoft Sentinel. سيكون زر الاتصال متوفرا فقط إذا كان لديك الأذونات المطلوبة واشتراك Defender for Cloud.
  8. يجب أن تلاحظ الآن حالة الاتصال في وضع الاتصال. بعد الاتصال، ستتبدل الحالة إلى متصل.
  9. بعد تأكيد الاتصال، يمكنك إغلاق إعدادات Defender for Cloud موصل البيانات وتحديث الصفحة لمراقبة التنبيهات في Microsoft Sentinel. قد يستغرق الأمر بعض الوقت حتى تتزامن السجلات مع Microsoft Sentinel. بعد الاتصال، ستلاحظ ملخص بيانات في الرسم البياني للبيانات المستلمة وحالة اتصال أنواع البيانات.
  10. يمكنك تحديد ما إذا كنت تريد من تنبيهات Microsoft Defender for Cloud أن تنشئ الأحداث تلقائيا في Microsoft Sentinel. ضمن إنشاء أحداث، حدد تمكين لتشغيل قاعدة التحليلات الافتراضية التي تنشئ الأحداث تلقائيا من التنبيهات. يمكنك بعد ذلك تحرير هذه القاعدة ضمن التحليلات، في علامة التبويب القواعد النشطة.
  11. لاستخدام المخطط الخاص بها في تحليلات السجل لتنبيهات Microsoft Defender for Cloud، ابحث عن SecurityAlert.

تتمثل إحدى مزايا استخدام Microsoft Sentinel كإدارة معلومات الأمان والأحداث SIEM في توفير ارتباط البيانات عبر مصادر متعددة، ما يمنحك رؤية شاملة للأحداث المتعلقة بالأمان في مؤسستك.

تعرّف على المزيد حول Microsoft Sentinel من المقالات التالية:

الخطوات التالية

Azure Monitor

Microsoft Defender للسحابة

Microsoft Sentinel

Azure Stack