دمج Microsoft Defender for Cloud مع Azure VMware Solution

  • مقالة

يوفر Microsoft Defender for Cloud حماية متقدمة من التهديدات عبر Azure VMware Solution والأجهزة الظاهرية المحلية (VMs). يقوم بتقييم ثغرة Azure VMware Solution VMs ويرفع التنبيهات حسب الحاجة. يمكن إعادة توجيه تنبيهات الأمان هذه إلى Azure Monitor للحل. يمكنك تحديد نهج الأمان في Microsoft Defender for Cloud. لمزيد من المعلومات، راجع العمل مع نهج الأمان.

يقدم Microsoft Defender for Cloud العديد من الميزات، بما في ذلك:

  • مراقبة سلامة الملفات
  • الكشف عن هجوم بلا ملفات
  • تقييم تصحيح نظام التشغيل
  • تقييم التكوينات الأمنية الخاطئة
  • تقييم حماية نقطة النهاية

يوضح الرسم التخطيطي بنية المراقبة المتكاملة للأمان المتكامل لأجهزة Azure VMware Solution الظاهرية.

رسم تخطيطي يوضح بنية Azure Integrated Security.

يجمع عامل Log Analytics بيانات السجل من Azure وAzure VMware Solution والأجهزة الظاهرية المحلية. يتم إرسال بيانات السجل إلى سجلات Azure Monitor وتخزينها في مساحة عمل Log Analytics. تحتوي كل مساحة عمل على مستودع بيانات وتكوين خاص بها لتخزين البيانات. بمجرد جمع السجلات، يقوم Microsoft Defender for Cloud بتقييم حالة الثغرة الأمنية لأجهزة Azure VMware Solution الظاهرية ويرفع تنبيها لأي ثغرة أمنية حرجة. بمجرد تقييمه، يقوم Microsoft Defender for Cloud بإعادة توجيه حالة الثغرة الأمنية إلى Microsoft Sentinel لإنشاء حادث وتعيينه مع التهديدات الأخرى. يتصل Microsoft Defender for Cloud ب Microsoft Sentinel باستخدام Microsoft Defender for Cloud الاتصال or.

المتطلبات الأساسية

إضافة Azure VMware Solution VMs إلى Defender for Cloud

  1. في مدخل Microsoft Azure، ابحث عن Azure Arc وحدده.

  2. ضمن الموارد، حدد الخوادم ثم +إضافة.

    لقطة شاشة تعرض صفحة خوادم Azure Arc لإضافة Azure VMware Solution VM إلى Azure.

  3. حدد إنشاء برنامج نصي.

    لقطة شاشة لصفحة Azure Arc تعرض خيار إضافة خادم باستخدام برنامج نصي تفاعلي.

  4. في علامة التبويب المتطلبات الأساسية ، حدد التالي.

  5. في علامة التبويب Resource details ، املأ التفاصيل التالية ثم حدد Next. العلامات:

    • الاشتراك
    • مجموعة الموارد
    • المنطقة
    • نظام التشغيل
    • تفاصيل الخادم الوكيل

  6. في علامة التبويب علامات ، حدد التالي.

  7. في علامة التبويب Download and run script ، حدد Download.

  8. حدد نظام التشغيل الخاص بك وقم بتشغيل البرنامج النصي على Azure VMware Solution VM.

عرض التوصيات والتقييمات التي تم اجتيازها

توفر لك التوصيات والتقييمات تفاصيل سلامة الأمان لموردك.

  1. في Microsoft Defender for Cloud، حدد Inventory من الجزء الأيمن.

  2. بالنسبة إلى Resource type، حدد Servers - Azure Arc.

    لقطة شاشة تعرض صفحة Microsoft Defender for Cloud Inventory مع تحديد Servers - Azure Arc ضمن Resource type.

  3. حدد اسم المورد الخاص بك. تفتح صفحة تعرض تفاصيل حماية الأمان للمورد الخاص بك.

  4. ضمن قائمة التوصيات، حدد علامات تبويب التوصيات والتقييمات التي تم اجتيازها والتقييمات غير المتوفرة لعرض هذه التفاصيل.

    لقطة شاشة تعرض توصيات وتقييمات أمان Microsoft Defender for Cloud.

نشر مساحة عمل Microsoft Sentinel

يوفر Microsoft Sentinel تحليلات الأمان والكشف عن التنبيهات والاستجابة التلقائية للتهديدات عبر بيئة ما. إنه حل إدارة أحداث معلومات الأمان (SIEM) أصلي على السحابة مبني على مساحة عمل Log Analytics.

نظرا لأن Microsoft Sentinel مبني على مساحة عمل Log Analytics، فأنت تحتاج فقط إلى تحديد مساحة العمل التي تريد استخدامها.

  1. في مدخل Microsoft Azure، ابحث عن Microsoft Sentinel، وحدده.

  2. في صفحة مساحات عمل Microsoft Sentinel، حدد +إضافة.

  3. حدد مساحة عمل Log Analytics وحدد Add.

تمكين جامع البيانات لأحداث الأمان

  1. في صفحة مساحات عمل Microsoft Sentinel، حدد مساحة العمل المكونة.

  2. ضمن Configuration، حدد Data connectors.

  3. ضمن العمود الاتصال or Name، حدد Security Events من القائمة، ثم حدد Open connector page.

  4. في صفحة الموصل، حدد الأحداث التي ترغب في دفقها، ثم حدد تطبيق التغييرات.

    لقطة شاشة لصفحة أحداث الأمان في Microsoft Sentinel حيث يمكنك تحديد الأحداث التي تريد دفقها.

الاتصال Microsoft Sentinel مع Microsoft Defender for Cloud

  1. في صفحة مساحة عمل Microsoft Sentinel، حدد مساحة العمل المكونة.

  2. ضمن Configuration، حدد Data connectors.

  3. حدد Microsoft Defender for Cloud من القائمة، ثم حدد فتح صفحة الموصل.

    لقطة شاشة لصفحة موصلات البيانات في Microsoft Sentinel تعرض التحديد لتوصيل Microsoft Defender for Cloud ب Microsoft Sentinel.

  4. حدد الاتصال لتوصيل Microsoft Defender for Cloud ب Microsoft Sentinel.

  5. تمكين إنشاء حادث لإنشاء حدث ل Microsoft Defender for Cloud.

إنشاء قواعد لتحديد تهديدات الأمان

بعد توصيل مصادر البيانات ب Microsoft Sentinel، يمكنك إنشاء قواعد لإنشاء تنبيهات للتهديدات المكتشفة. في المثال التالي، نقوم بإنشاء قاعدة لمحاولات تسجيل الدخول إلى خادم Windows باستخدام كلمة مرور خاطئة.

  1. في صفحة نظرة عامة على Microsoft Sentinel، ضمن Configurations، حدد Analytics.

  2. ضمن Configurations، حدد Analytics.

  3. حدد +Create وفي القائمة المنسدلة، حدد Scheduled query rule.

  4. في علامة التبويب عام ، أدخل المعلومات المطلوبة ثم حدد التالي: تعيين منطق القاعدة.

    • Name
    • ‏‏الوصف
    • الخطط
    • الأهمية
    • ‏الحالة

  5. في علامة التبويب Set rule logic ، أدخل المعلومات المطلوبة، ثم حدد Next.

    • استعلام القاعدة (هنا يعرض مثال الاستعلام)

      SecurityEvent
|where Activity startswith '4625'
|summarize count () by IpAddress,Computer
|where count_ > 3

    • تعيين الكيانات

    • جدولة الاستعلام

    • حد التنبيه

    • تجميع الأحداث

    • التعليق

  6. في علامة التبويب Incident settings ، قم بتمكين Create incidents from alerts triggered by this analytics rule وحدد Next: Automated response.

    لقطة شاشة تعرض معالج القاعدة التحليلية لإنشاء قاعدة جديدة في Microsoft Sentinel.

  7. حدد «Next: Review».

  8. في علامة التبويب مراجعة وإنشاء ، راجع المعلومات، وحدد إنشاء.

تلميح

بعد المحاولة الفاشلة الثالثة لتسجيل الدخول إلى خادم Windows، تؤدي القاعدة التي تم إنشاؤها إلى حدوث حادث لكل محاولة غير ناجحة.

عرض التنبيهات

يمكنك عرض الحوادث التي تم إنشاؤها باستخدام Microsoft Sentinel. يمكنك أيضا تعيين الحوادث وإغلاقها بمجرد حلها، كل ذلك من داخل Microsoft Sentinel.

  1. انتقل إلى صفحة نظرة عامة على Microsoft Sentinel.

  2. ضمن Threat Management، حدد Incidents.

  3. حدد حادثا ثم قم بتعيينه إلى فريق للحل.

    لقطة شاشة لصفحة أحداث Microsoft Sentinel مع تحديد الحدث وخيار تعيين الحدث للحل.

تلميح

بعد حل المشكلة، يمكنك إغلاقها.

تتبع التهديدات الأمنية باستخدام الاستعلامات

يمكنك إنشاء استعلامات أو استخدام الاستعلام المعرف مسبقا المتوفر في Microsoft Sentinel لتحديد التهديدات في بيئتك. تقوم الخطوات التالية بتشغيل استعلام معرف مسبقا.

  1. في صفحة نظرة عامة على Microsoft Sentinel، ضمن Threat management، حدد Hunting. يتم عرض قائمة بالاستعلامات المعرفة مسبقا.

    تلميح

    يمكنك أيضا إنشاء استعلام جديد عن طريق تحديد استعلام جديد.

    لقطة شاشة لصفحة Microsoft Sentinel Hunting مع تمييز + New Query.

  2. حدد استعلاما ثم حدد تشغيل الاستعلام.

  3. حدد عرض النتائج للتحقق من النتائج.

الخطوات التالية

الآن بعد أن قمت بتغطية كيفية حماية الأجهزة الظاهرية ل Azure VMware Solution، يمكنك معرفة المزيد حول: