دمج خدمات أمان Azure وMicrosoft Defender XDR

يمكنك تعزيز وضع أمان تكنولوجيا المعلومات في مؤسستك من خلال الاستفادة من ميزات الأمان المتوفرة في كل من Microsoft 365 وAzure. توضح هذه المقالة الخامسة والأخيرة في السلسلة كيفية دمج قدرات الأمان هذه باستخدام Microsoft Defender XDR وخدمات مراقبة Azure.

تستند هذه المقالة إلى المقالات السابقة في السلسلة:

1. استخدام مراقبة Azure لدمج مكونات الأمان يوفر عرضا شاملا لكيفية دمج خدمات الأمان في Azure وMicrosoft Defender XDR.

2. تصف خريطة التهديدات لبيئة تكنولوجيا المعلومات أساليب لتعيين أمثلة للتهديدات والتكتيكات والتقنيات الشائعة مقابل مثال لبيئة تكنولوجيا المعلومات المختلطة التي تستخدم كل من الخدمات السحابية المحلية وخدمات Microsoft.

3. أنشئ الطبقة الأولى من الدفاع باستخدام خدمات أمان Azure لمثال على بعض خدمات أمان Azure التي تنشئ الطبقة الأولى من الدفاع لحماية بيئة Azure وفقا للإصدار 3 من معيار أمان Azure.

4. بناء الطبقة الثانية من الدفاع مع خدمات أمان Microsoft Defender XDR يصف مثالا على سلسلة من الهجمات ضد بيئة تكنولوجيا المعلومات وكيفية إضافة طبقة أخرى من الحماية باستخدام Microsoft Defender XDR.

بناء الأنظمة

قم بتنزيل ملف Visio لهذه البنية.

©2021 شركة MITRE. يتم إعادة إنتاج هذا العمل وتوزيعه بإذن من شركة MITRE.

يوضح هذا الرسم التخطيطي مرجعا كاملا للبنية. يتضمن مثالا على بيئة تكنولوجيا المعلومات، ومجموعة من التهديدات التي يتم وصفها وفقا لتكتيكاتها (باللون الأزرق)، وتقنياتها (في مربع النص) وفقا لمصفوفة MITRE ATT&CK. يتم تغطية مصفوفة MITRE ATT CK في تهديدات الخريطة لبيئة تكنولوجيا المعلومات الخاصة بك.

يسلط الرسم التخطيطي الضوء على العديد من الخدمات المهمة. يركز البعض، مثل Network Watcher وApplication Insights، على التقاط البيانات من خدمات معينة، بينما يعمل البعض الآخر، مثل Log Analytics (المعروف أيضا باسم سجلات Azure Monitor) وMicrosoft Sentinel، كخدمات أساسية لأنه يمكنهم جمع البيانات وتخزينها وتحليلها من مجموعة واسعة من الخدمات، سواء كانت متعلقة بالشبكات أو الحوسبة أو التطبيقات.

في وسط الرسم التخطيطي، ستجد طبقتين من خدمات الأمان، جنبا إلى جنب مع طبقة مخصصة لخدمات مراقبة Azure محددة، وكلها متكاملة من خلال Azure Monitor (تظهر على الجانب الأيسر من الرسم التخطيطي). المكون الرئيسي لهذا التكامل هو Microsoft Sentinel.

يوضح الرسم التخطيطي الخدمات التالية في خدمات المراقبة الأساسية وفي طبقة المراقبة :

• Azure Monitor
• Log Analytics
• Microsoft Defender للسحابة
• Microsoft Sentinel
• مراقب الشبكة
• تحليلات نسبة استخدام الشبكة (جزء من Network Watcher)
• Application Insights
• Storage Analytics

‏‏سير العمل‬

1. Azure Monitor هي مظلة للعديد من خدمات مراقبة Azure. يتضمن إدارة السجل والمقاييس وApplication Insights، من بين أمور أخرى. كما يوفر مجموعة من لوحات المعلومات الجاهزة لاستخدام التنبيهات وإدارتها. لمزيد من المعلومات، راجع نظرة عامة على Azure Monitor.

2. يقدم Microsoft Defender for Cloud توصيات للأجهزة الظاهرية والتخزين والتطبيقات والموارد الأخرى، التي تساعد بيئة تكنولوجيا المعلومات على أن تكون متوافقة مع المعايير التنظيمية المختلفة، مثل ISO وPCI. في الوقت نفسه، يقدم Defender for Cloud درجة لوضع الأمان للأنظمة التي يمكن أن تساعدك على تتبع أمان بيئتك. يقدم Defender for Cloud أيضا تنبيهات تلقائية تستند إلى السجلات التي يجمعها ويحللها. كان Defender for Cloud يعرف سابقا باسم Azure Security Center. لمزيد من المعلومات، راجع Microsoft Defender for Cloud.

3. Log Analytics هي واحدة من أهم الخدمات. وهي مسؤولة عن تخزين جميع السجلات والتنبيهات المستخدمة لإنشاء التنبيهات والرؤى والحوادث. يعمل Microsoft Sentinel أعلى Log Analytics. بشكل أساسي، تتوفر جميع البيانات التي ي تناولها Log Analytics تلقائيا إلى Microsoft Sentinel. يعرف Log Analytics أيضا باسم Azure Monitor Logs. لمزيد من المعلومات، راجع نظرة عامة على Log Analytics في Azure Monitor.

4. يعمل Microsoft Sentinel كواجهة ل Log Analytics. بينما يخزن Log Analytics السجلات والتنبيهات من مصادر مختلفة، يقدم Microsoft Sentinel واجهات برمجة التطبيقات التي تساعد في استيعاب السجلات من مصادر مختلفة. تتضمن هذه المصادر الأجهزة الظاهرية المحلية وأجهزة Azure الظاهرية والتنبيهات من Microsoft Defender XDR والخدمات الأخرى. يرتبط Microsoft Sentinel بالسجلات لتوفير رؤى حول ما يحدث في بيئة تكنولوجيا المعلومات الخاصة بك، وتجنب الإيجابيات الزائفة. Microsoft Sentinel هو جوهر الأمان والمراقبة لخدمات Microsoft السحابية. لمزيد من المعلومات حول Microsoft Sentinel، راجع ما هو Microsoft Sentinel؟.

الخدمات السابقة في هذه القائمة هي الخدمات الأساسية التي تعمل في جميع أنحاء Azure وOffice 365 والبيئات المحلية. تركز الخدمات التالية على موارد محددة:

5. يوفر Network Watcher أدوات لمراقبة المقاييس وتشخيصها وعرضها وتمكين السجلات أو تعطيلها للموارد في شبكة Azure الظاهرية. لمزيد من المعلومات، راجع ما هو Azure Network Watcher؟

6. تحليلات نسبة استخدام الشبكة هي جزء من Network Watcher وتعمل على رأس السجلات من مجموعات أمان الشبكة (NSGs). تقدم Traffic Analytics العديد من لوحات المعلومات القادرة على تجميع المقاييس من الاتصال الصادر والوارد في شبكة Azure الظاهرية. لمزيد من المعلومات، راجع تحليلات نسبة استخدام الشبكة.

7. يركز Application Insights على التطبيقات ويوفر إدارة الأداء الموسعة والمراقبة لتطبيقات الويب المباشرة، بما في ذلك دعم مجموعة واسعة من الأنظمة الأساسية مثل .NET، Node.js، وJava، وPython. إن Application Insights هي ميزة من ميزات Azure Monitor. لمزيد من المعلومات، راجع نظرة عامة على Application Insights.

8. يقوم Azure Storage Analytics بإجراء التسجيل ويوفر مقاييس لحساب تخزين. يمكنك استخدام بياناته لتتبع الطلبات وتحليل اتجاهات الاستخدام وتشخيص المشكلات في حساب التخزين الخاص بك. لمزيد من المعلومات، راجع استخدام تحليلات تخزين Azure لجمع بيانات السجلات والمقاييس.

9. نظرا لأن مرجع البنية هذا يستند إلى Microsoft ثقة معدومة، لا تحتوي الخدمات والمكونات ضمن البنية الأساسية ونقطة النهاية على خدمات مراقبة محددة. سجلات Azure Monitor وDefender for Cloud هي الخدمات الرئيسية التي تجمع السجلات وتخزنها وتحللها من الأجهزة الظاهرية وخدمات الحوسبة الأخرى.

المكون المركزي لهذه البنية هو Microsoft Sentinel، لأنه يدمج جميع السجلات والتنبيهات التي تم إنشاؤها بواسطة خدمات أمان Azure وMicrosoft Defender XDR وAzure Monitor. بمجرد تنفيذ Microsoft Sentinel وتلقي السجلات والتنبيهات من المصادر الموضحة في هذه المقالة، فإن الخطوة التالية هي تعيين الاستعلامات إلى تلك السجلات من أجل جمع الرؤى واكتشاف مؤشرات الاختراق (IOCs). عندما يلتقط Microsoft Sentinel هذه المعلومات، يمكنك إما التحقيق فيها يدويا أو تشغيل الاستجابات التلقائية التي تقوم بتكوينها للتخفيف من الحوادث أو حلها. قد تتضمن الإجراءات التلقائية حظر مستخدم في معرف Microsoft Entra أو حظر عنوان IP من خلال جدار الحماية.

لمزيد من المعلومات حول Microsoft Sentinel، راجع وثائق Microsoft Sentinel.

كيفية الوصول إلى خدمات الأمان والمراقبة

توفر القائمة التالية معلومات حول كيفية الوصول إلى كل من الخدمات المقدمة في هذه المقالة:

• خدمات أمان Azure. يمكنك الوصول إلى جميع خدمات أمان Azure المذكورة في الرسومات التخطيطية في هذه السلسلة من المقالات باستخدام مدخل Microsoft Azure. في المدخل، استخدم دالة البحث لتحديد موقع الخدمات التي تهتم بها والوصول إليها.

• Azure Monitor. يتوفر Azure Monitor في جميع اشتراكات Azure. يمكنك الوصول إليه من بحث عن جهاز عرض في مدخل Microsoft Azure.

• Defender for Cloud. يتوفر Defender for Cloud لأي شخص يصل إلى مدخل Microsoft Azure. في المدخل، ابحث عن Defender for Cloud.

• Log Analytics. للوصول إلى Log Analytics، يجب أولا إنشاء الخدمة في المدخل، لأنها غير موجودة بشكل افتراضي. في مدخل Microsoft Azure، ابحث عن مساحة عمل Log Analytics، ثم حدد Create. بعد الإنشاء، يمكنك الوصول إلى الخدمة.

• Microsoft Sentinel. نظرا لأن Microsoft Sentinel يعمل فوق Log Analytics، يجب عليك أولا إنشاء مساحة عمل Log Analytics. بعد ذلك، ابحث عن sentinel في مدخل Microsoft Azure. ثم قم بإنشاء الخدمة عن طريق اختيار مساحة العمل التي تريدها خلف Microsoft Sentinel.

• Microsoft Defender لنقطة النهاية. Defender لنقطة النهاية هو جزء من Microsoft Defender XDR. الوصول إلى الخدمة من خلال https://security.microsoft.com. هذا تغيير من عنوان URL السابق، securitycenter.windows.com.

• Microsoft Defender لتطبيقات السحابة. Defender for Cloud Apps هو جزء من Microsoft 365. الوصول إلى الخدمة من خلال https://portal.cloudappsecurity.com.

• Microsoft Defender لـ Office 365. Defender لـ Office 365 هو جزء من Microsoft 365. الوصول إلى الخدمة من خلال https://security.microsoft.com، نفس المدخل المستخدم ل Defender لنقطة النهاية. (هذا تغيير من عنوان URL السابق، protection.office.com.)

• Microsoft Defender for Identity. Defender for Identity هو جزء من Microsoft 365. يمكنك الوصول إلى الخدمة من خلال https://portal.atp.azure.com. على الرغم من أنها خدمة سحابية، فإن Defender for Identity مسؤول أيضا عن حماية الهوية على الأنظمة المحلية.

• إدارة نقاط النهاية من Microsoft. Endpoint Manager هو الاسم الجديد ل Intune و Configuration Manager والخدمات الأخرى. الوصول إليه من خلال https://endpoint.microsoft.com. لمعرفة المزيد حول الوصول إلى الخدمات التي يوفرها Microsoft Defender XDR وكيفية ارتباط كل مدخل، راجع إنشاء الطبقة الثانية من الدفاع باستخدام خدمات أمان Microsoft Defender XDR.

• Azure Network Watcher. للوصول إلى Azure Network Watcher، ابحث عن مراقب في مدخل Microsoft Azure.

• تحليلات نسبة استخدام الشبكة. تحليلات نسبة استخدام الشبكة هي جزء من Network Watcher. يمكنك الوصول إليه من القائمة على الجانب الأيسر في Network Watcher. إنها مراقبة شبكة قوية تعمل بناء على مجموعات أمان الشبكة التي يتم تنفيذها على واجهات الشبكة الفردية والشبكات الفرعية. يتطلب Network Watcher جمع المعلومات من مجموعات أمان الشبكة. للحصول على إرشادات حول كيفية جمع هذه المعلومات، راجع البرنامج التعليمي: تسجيل نسبة استخدام الشبكة من وإلى جهاز ظاهري باستخدام مدخل Microsoft Azure.

• Application Insight. Application Insight هو جزء من Azure Monitor. ومع ذلك، يجب عليك أولا إنشائه للتطبيق الذي تريد مراقبته. بالنسبة لبعض التطبيقات المبنية على Azure، مثل تطبيقات الويب، يمكنك إنشاء Application Insight مباشرة من توفير تطبيقات الويب. للوصول إليه، ابحث عن جهاز العرض في مدخل Microsoft Azure. في صفحة Monitor ، حدد Applications في القائمة على الجانب الأيسر.

• Storage Analytics. يوفر Azure Storage أنواعا مختلفة من التخزين ضمن نفس تقنية حساب التخزين. يمكنك العثور على الكائنات الثنائية كبيرة الحجم والملفات والجداول وقوائم الانتظار أعلى حسابات التخزين. توفر تحليلات التخزين مجموعة واسعة من المقاييس لاستخدامها مع خدمات التخزين هذه. الوصول إلى Storage Analytics من حساب التخزين الخاص بك في مدخل Microsoft Azure، ثم حدد Diagnostic settings في القائمة على الجانب الأيسر. اختر مساحة عمل واحدة لتحليلات السجل لإرسال تلك المعلومات. ثم يمكنك الوصول إلى لوحة معلومات من Insights. يتم تمثيل كل شيء في حساب التخزين الخاص بك الذي تتم مراقبته في القائمة.

المكونات

يستخدم مثال البنية في هذه المقالة مكونات Azure التالية:

• معرف Microsoft Entra هو خدمة إدارة الهوية والوصول المستندة إلى السحابة. يساعد معرف Microsoft Entra المستخدمين على الوصول إلى الموارد الخارجية، مثل Microsoft 365 ومدخل Azure والآلاف من تطبيقات SaaS الأخرى. كما أنه يساعدهم على الوصول إلى الموارد الداخلية، مثل التطبيقات على شبكة إنترانت شركتك.

• شبكة Azure الظاهرية هي اللبنة الأساسية لشبكتك الخاصة في Azure. تمكن الشبكة الظاهرية العديد من أنواع موارد Azure من التواصل بأمان مع بعضها البعض والإنترنت والشبكات المحلية. توفر الشبكة الظاهرية شبكة ظاهرية تستفيد من البنية الأساسية ل Azure، مثل المقياس والتوافر والعزل.

• Azure Load Balancer هي خدمة موازنة تحميل الطبقة 4 عالية الأداء وذات زمن انتقال منخفض (الواردة والصادرة) لجميع بروتوكولات UDP وTCP. تم تصميمها لمعالجة ملايين الطلبات في الثانية مع ضمان قابلية الوصول عالية التوفر للحل. Azure Load Balancer تكون متكررة، ممّا يضمن توفّراً بدرجة كبيرة عبر Availability Zones.

• الأجهزة الظاهرية هي واحدة من عدة أنواع من موارد الحوسبة القابلة للتطوير عند الطلب التي تقدمها Azure. يمنحك جهاز Azure الظاهري (VM) مرونة الظاهرية دون الحاجة إلى شراء وصيانة الأجهزة المادية التي تقوم بتشغيله.

• خدمة Azure Kubernetes (AKS) هي خدمة Kubernetes مدارة بالكامل لنشر التطبيقات المعبأة في حاويات وإدارتها. توفر AKS Kubernetes بلا خادم والتكامل المستمر/التسليم المستمر (CI/CD) والأمان والحوكمة على مستوى المؤسسة.

• Azure Virtual Desktop هي خدمة افتراضية لسطح المكتب والتطبيقات تعمل على السحابة لتوفير أسطح مكتب للمستخدمين البعيدين.

• تطبيقات الويب هي خدمة مستندة إلى HTTP لاستضافة تطبيقات الويب وواجهات برمجة تطبيقات REST والنهايات الخلفية للأجهزة المحمولة. يمكنك التطوير بلغتك المفضلة، وتشغيل التطبيقات وتوسيع نطاقها بسهولة على كل من البيئات المستندة إلى Windows وLinux.

• يتوفر Azure Storage بشكل كبير وقابل للتطوير بشكل كبير ودائم وآمن لعناصر البيانات المختلفة في السحابة، بما في ذلك الكائن والكائنات الثنائية كبيرة الحجم والملف والقرص وقائمة الانتظار وتخزين الجدول. يتم تشفير كل البيانات المكتوبة إلى حساب تخزين Azure بواسطة الخدمة. يوفر لك تخزين Azure تحكمًا دقيقًا فيمَن لديه حق الوصول إلى بياناتك.

• قاعدة بيانات Azure SQL هي محرك قاعدة بيانات PaaS مدار بالكامل يعالج معظم وظائف إدارة قاعدة البيانات مثل الترقية والتصحيح والنسخ الاحتياطي والمراقبة. يوفر هذه الدالات دون مشاركة المستخدم. توفر قاعدة بيانات SQL مجموعة من ميزات الأمان والتوافق المضمنة لمساعدة تطبيقك على تلبية متطلبات الأمان والتوافق.

تفاصيل الحل

قد تبدو حلول المراقبة على Azure مربكة في البداية، لأن Azure يقدم خدمات مراقبة متعددة. ومع ذلك، كل خدمة مراقبة Azure مهمة في استراتيجية الأمان والمراقبة الموضحة في هذه السلسلة. تصف المقالات الواردة في هذه السلسلة الخدمات المختلفة وكيفية تخطيط الأمان الفعال لبيئة تكنولوجيا المعلومات الخاصة بك.

1. استخدام مراقبة Azure لدمج مكونات الأمان
2. تعيين التهديدات لبيئة تكنولوجيا المعلومات
3. بناء الطبقة الأولى من الدفاع باستخدام خدمات أمان Azure
4. بناء الطبقة الثانية من الدفاع باستخدام خدمات أمان Microsoft Defender XDR

حالات الاستخدام المحتملة

توفر هذه البنية المرجعية طريقة عرض شاملة لخدمات أمان Microsoft Cloud وتوضح كيفية دمجها لتحقيق وضع أمان مثالي.

على الرغم من أنه ليس من الضروري تنفيذ كل خدمة أمان معروضة، يمكن أن يرشدك هذا المثال وخريطة التهديد الموضحة في الرسم التخطيطي للبنية إلى إنشاء خريطة التهديد الخاصة بك والتخطيط لإستراتيجيتك الأمنية. اختر خدمات أمان Azure وخدمات Microsoft Defender XDR التي تناسب احتياجاتك بشكل أفضل، مما يضمن تأمين بيئة تكنولوجيا المعلومات بشكل صحيح.

تحسين التكلفة

يتم حساب أسعار خدمات Azure المقدمة في هذه السلسلة من المقالات بطرق مختلفة. بعض الخدمات مجانية، وبعضها له رسوم على كل استخدام، وبعضها له رسوم تستند إلى الترخيص. أفضل طريقة لتقدير التسعير لأي من خدمات أمان Azure هي استخدام حاسبة التسعير. في الحاسبة، ابحث عن خدمة تهتم بها، ثم حددها للحصول على جميع المتغيرات التي تحدد سعر الخدمة.

تعمل خدمات أمان Microsoft Defender XDR مع التراخيص. للحصول على معلومات حول متطلبات الترخيص، راجع متطلبات Microsoft Defender XDR الأساسية.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

• رودني أوليفيرا | مهندس أمان Azure أول

مساهمون آخرون:

• غاري مور | مبرمج/ كاتب
• أندرو ناثان | مدير هندسة العملاء الأقدم

الخطوات التالية

• الدفاع ضد التهديدات باستخدام Microsoft 365
• الكشف عن الهجمات الإلكترونية والاستجابة لها باستخدام Microsoft Defender XDR
• بدء استخدام Microsoft Defender XDR
• إدارة الأمان باستخدام Microsoft 365
• الحماية من التهديدات الضارة باستخدام Microsoft Defender لـ Office 365
• حماية الهويات المحلية باستخدام Microsoft Defender for Cloud for Identity

الموارد ذات الصلة

لمزيد من التفاصيل حول هذه البنية المرجعية، راجع المقالات الأخرى في هذه السلسلة:

• الجزء الأول: استخدام مراقبة Azure لدمج مكونات الأمان
• الجزء الثاني: تعيين التهديدات لبيئة تكنولوجيا المعلومات
• الجزء 3: بناء الطبقة الأولى من الدفاع باستخدام خدمات أمان Azure
• الجزء 4: بناء الطبقة الثانية من الدفاع باستخدام خدمات أمان Microsoft Defender XDR

للحصول على البنى ذات الصلة في Azure Architecture Center، راجع المقالات التالية:

• تنفيذ شبكة مختلطة آمنة
• مراقبة الأمان المختلط باستخدام Microsoft Defender for Cloud وMicrosoft Sentinel