الاستعداد لإيقاف عامل Log Analytics
سيتوقف عامل Log Analytics، المعروف أيضا باسم Microsoft Monitoring Agent (MMA)، في نوفمبر 2024. ونتيجة لذلك، سيتم تحديث خطط Defender for Servers وDefender for SQL على الأجهزة في Microsoft Defender for Cloud، وستتم إعادة تصميم الميزات التي تعتمد على عامل Log Analytics.
تلخص هذه المقالة خطط إيقاف العامل.
إعداد Defender للخوادم
تستخدم خطة Defender for Servers عامل Log Analytics في التوفر العام (GA) وفي AMA لبعض الميزات (في المعاينة). فيما يلي ما يحدث مع هذه الميزات من الآن فصاعدا:
لتبسيط الإعداد، سيتم توفير جميع ميزات أمان Defender for Servers وقدراته مع عامل واحد (Microsoft Defender لنقطة النهاية)، يكمله فحص الجهاز بدون عامل، دون أي تبعية على عامل Log Analytics أو AMA.
- ميزات Defender for Servers، التي تستند إلى AMA، قيد المعاينة حاليا ولن يتم إصدارها في GA.
- تظل الميزات في المعاينة التي تعتمد على AMA مدعومة حتى يتم توفير إصدار بديل من الميزة، والتي ستعتمد على Defender لتكامل نقطة النهاية أو ميزة فحص الجهاز بدون عامل.
- من خلال تمكين تكامل Defender لنقطة النهاية وميزة فحص الجهاز بدون عامل قبل حدوث الإهمال، سيكون نشر Defender for Servers محدثا ومدعما.
وظيفة الميزة
يلخص الجدول التالي كيفية توفير ميزات Defender for Servers. تتوفر معظم الميزات بالفعل بشكل عام باستخدام تكامل Defender لنقطة النهاية أو فحص الجهاز بدون عامل. ستتوفر بقية الميزات إما في GA بحلول وقت إيقاف MMA، أو سيتم إهمالها.
| ميزة | الدعم الحالي | دعم جديد | حالة تجربة جديدة |
|---|---|---|---|
| تكامل Defender لنقطة النهاية لأجهزة Windows ذات المستوى الأدنى (Windows Server 2016/2012 R2) | مستشعر Legacy Defender لنقطة النهاية، استنادا إلى عامل Log Analytics | تكامل العامل الموحد | - وظيفة مع عامل MDE الموحد هو GA. - سيتم إهمال الوظائف باستخدام مستشعر Defender for Endpoint القديم باستخدام عامل Log Analytics في أغسطس 2024. |
| الكشف عن التهديدات على مستوى نظام التشغيل | وكيل تحليلات السجل | تكامل وكيل Defender لنقطة النهاية | الوظيفة مع عامل Defender لنقطة النهاية هي GA. |
| عناصر التحكم التكيفية | عامل Log Analytics (GA)، AMA (معاينة) | --- | تم تعيين ميزة التحكم في التطبيق التكيفي ليتم إهمالها في أغسطس 2024. |
| توصيات اكتشاف حماية نقطة النهاية | التوصيات المتوفرة من خلال خطة Foundational Cloud Security Posture Management (CSPM) وDefender for Servers، باستخدام عامل Log Analytics (GA)، AMA (معاينة) | فحص الجهاز بدون عامل | - تم إصدار الوظائف مع فحص الجهاز بدون عامل للمعاينة في أوائل 2024 كجزء من Defender for Servers الخطة 2 وخطة إدارة وضع الأمان السحابي في Defender. - يتم دعم أجهزة Azure الظاهرية ومثيلات Google Cloud Platform (GCP) ومثيلات Amazon Web Services (AWS). الأجهزة المحلية غير مدعومة. |
| توصية تحديث نظام التشغيل مفقودة | التوصيات المتوفرة في خطط Foundational CSPM وDefender for Servers باستخدام عامل Log Analytics. | التكامل مع Update Manager، Microsoft | التوصيات الجديدة المستندة إلى تكامل Azure Update Manager هي GA، مع عدم وجود تبعيات عامل. |
| تكوينات نظام التشغيل الخاطئة (معيار أمان السحابة من Microsoft) | التوصيات المتوفرة من خلال خطط Foundational CSPM وDefender for Servers باستخدام عامل Log Analytics، ملحق تكوين الضيف (معاينة). | ملحق تكوين الضيف، كجزء من خطة Defender for Servers 2. | - سيتم إصدار الوظائف المستندة إلى ملحق تكوين الضيف إلى GA في سبتمبر 2024 - بالنسبة لعملاء Defender for Cloud فقط: سيتم إهمال الوظائف مع عامل Log Analytics في نوفمبر 2024. - سيتم إهمال دعم هذه الميزة ل Docker-hub وAzure Virtual Machine Scale Sets في أغسطس 2024. |
| مراقبة سلامة الملفات | عامل Log Analytics، AMA (معاينة) | تكامل وكيل Defender لنقطة النهاية | ستتوفر الوظائف مع عامل Defender لنقطة النهاية في أغسطس 2024. - بالنسبة لعملاء Defender for Cloud فقط: سيتم إهمال الوظائف مع عامل Log Analytics في نوفمبر 2024. - سيتم إهمال الوظيفة مع AMA عند إصدار تكامل Defender لنقطة النهاية. |
تجربة التوفير التلقائي لعامل تحليلات السجل - خطة الإهمال
كجزء من إيقاف عامل MMA، سيتم إهمال إمكانية التوفير التلقائي التي توفر تثبيت وتكوين العامل لعملاء MDC، وكذلك في مرحلتين:
بحلول نهاية سبتمبر 2024 - سيتم تعطيل التوفير التلقائي ل MMA للعملاء الذين لم يعودوا يستخدمون القدرة، وكذلك للاشتراكات التي تم إنشاؤها حديثا:
- لن تتمكن الاشتراكات الحالية التي تقوم بإيقاف تشغيل التوفير التلقائي MMA بعد نهاية سبتمبر من تمكين القدرة بعد ذلك.
- في الاشتراكات التي تم إنشاؤها حديثا، لم يعد من الممكن تمكين التوفير التلقائي ويتم إيقاف تشغيله تلقائيا.
- نهاية نوفمبر 2024 - سيتم تعطيل القدرة على الاشتراكات التي لم تقم بإيقاف تشغيلها بعد. من هذه النقطة فصاعدا، لم يعد من الممكن تمكين القدرة على الاشتراكات الحالية.
ميزة 500 ميغابايت لاستيعاب البيانات
للحفاظ على 500 ميغابايت من بدل استيعاب البيانات المجاني لأنواع البيانات المدعومة، تحتاج إلى الترحيل من MMA إلى AMA.
إشعار
يتم منح الميزة لكل جهاز AMA الذي يعد جزءا من اشتراك مع تمكين الخطة 2 من Defender for Servers.
يتم منح الميزة لمساحة العمل التي يقوم الجهاز بالإبلاغ عنها.
يجب تثبيت حل الأمان على مساحة العمل ذات الصلة. تعرف على المزيد حول كيفية تنفيذه هنا.
إذا كان الجهاز يقوم بالإبلاغ إلى أكثر من مساحة عمل واحدة، منح الميزة لواحدة منها فقط.
تعرف على المزيد حول كيفية نشر AMA.
بالنسبة لخوادم SQL على الأجهزة، نوصي بالترحيل إلى عملية التوفير التلقائي لعامل مراقبة Azure (AMA) المستهدف من قبل خادم SQL.
التغييرات التي تم إجراؤها على Defender for Servers الخطة 2 للإلحاق عبر عامل Log Analytics
تم تعيين النهج القديم لإلحاق الخوادم ب Defender for Servers الخطة 2 استنادا إلى عامل Log Analytics واستخدام مساحات عمل تحليلات السجل للإيقاف أيضا:
تتم إزالة تجربة الإلحاق لإلحاق أجهزة جديدة غير Azure إلى Defender for Servers باستخدام عوامل Log Analytics ومساحات العمل من شفرات المخزون والبدء في مدخل Defender for Cloud.
لتجنب فقدان تغطية الأمان على الأجهزة المتأثرة المتصلة بمساحة عمل Log Analytics، مع إيقاف العامل:
إذا قمت بإلحاق خوادم غير Azure (محلية ومتعددة السحابة) باستخدام النهج القديم، يجب عليك الآن توصيل هذه الأجهزة عبر خوادم Azure Arc الممكنة ب Defender for Servers الخطة 2 اشتراكات وموصلات Azure. تعرف على المزيد حول نشر أجهزة Arc على نطاق واسع.
- إذا استخدمت النهج القديم لتمكين Defender for Servers الخطة 2 على أجهزة Azure الظاهرية المحددة، نوصي بتمكين Defender for Servers الخطة 2 على اشتراكات Azure لهذه الأجهزة. يمكنك بعد ذلك استبعاد الأجهزة الفردية من تغطية Defender for Servers باستخدام تكوين Defender for Servers لكل مورد.
هذا ملخص للإجراء المطلوب لكل خادم من الخوادم التي تم إلحاقها ب Defender for Servers الخطة 2 من خلال النهج القديم:
| نوع الجهاز | الإجراء المطلوب للحفاظ على التغطية الأمنية |
|---|---|
| على الخوادم المحلية | تم إلحاقه ب Arc ومتصل باشتراك مع Defender for Servers الخطة 2 |
| أجهزة Azure الظاهرية | الاتصال بالاشتراك باستخدام Defender for Servers الخطة 2 |
| خوادم متعددة السحابة | الاتصال بموصل متعدد السحابات باستخدام توفير Azure Arc وخطة Defender for Servers 2 |
تحديث النظام وتصحيح تجربة التوصيات - إرشادات التغييرات والترحيل
تعد تحديثات النظام وتصحيحاته أمرا بالغ الأهمية للحفاظ على أمان أجهزتك وصحتها. غالبا ما تحتوي التحديثات على تصحيحات أمان للثغرات الأمنية التي يمكن للمهاجمين استغلالها، إذا تركت دون إصلاح.
تم توفير توصيات تحديثات النظام مسبقا من قبل Defender for Cloud Foundational CSPM وخطط Defender for Servers باستخدام عامل Log Analytics. تم استبدال هذه التجربة بتوصيات الأمان التي يتم جمعها باستخدام Azure Update Manager وتم إنشاؤها من بين توصيتين جديدتين:
يجب تكوين الأجهزة للتحقق بشكل دوري من وجود تحديثات نظام مفقودة
يجب تثبيت تحديثات النظام على أجهزتك (مدعومة من Azure Update Manager)
تعرف على كيفية معالجة تحديثات النظام وتصحيح التوصيات على أجهزتك.
ما هي التوصيات التي يتم استبدالها؟
ويلخص الجدول التالي الجدول الزمني للتوصيات التي يجري إهمالها واستبدالها.
| التوصية | المندوب | الموارد المدعومة | تاريخ الإهمال | توصية الاستبدال |
|---|---|---|---|---|
| ينبغي تثبيت تحديثات النظام على أجهزتك | MMA | Azure غير Azure (Windows وLinux) | أغسطس 2024 | توصية جديدة مدعومة من Azure Update Manager |
| يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري | MMA | مجموعات توسعة الأجهزة الظاهرية في Azure | أغسطس 2024 | لا يوجد بديل |
كيف أعمل الاستعداد للتوصيات الجديدة؟
توصيل الأجهزة غير التابعة ل Azure ب Arc
تأكد من تمكين إعداد تحديث التقييم الدوري على أجهزتك. يمكنك القيام بذلك بطريقتين:
- إصلاح التوصية: يجب تكوين الأجهزة للتحقق بشكل دوري من وجود تحديثات نظام مفقودة (مدعومة من Azure Update Manager).
- تمكين التقييم الدوري على نطاق واسع باستخدام Azure Policy.
- بمجرد القبة، يمكن ل Update Manager إحضار آخر التحديثات إلى الأجهزة، ويمكنك عرض حالة توافق الجهاز الأخيرة.
إشعار
يخضع تمكين التقييمات الدورية لأجهزة Arc الممكنة التي لم يتم تمكين Defender for Servers الخطة 2 لها على الاشتراك أو الموصل ذي الصلة، لتسعير Azure Update Manager. الأجهزة الممكنة بواسطة Arc التي تم تمكين Defender for Servers الخطة 2 عليها على الاشتراك أو الموصلات ذات الصلة، أو أي جهاز Azure ظاهري، مؤهلة لهذه الإمكانية دون أي تكلفة إضافية.
تجربة توصيات حماية نقطة النهاية - إرشادات التغييرات والترحيل
تم توفير اكتشاف نقطة النهاية والتوصيات مسبقا من قبل Defender for Cloud Foundational CSPM وخطط Defender for Servers باستخدام عامل Log Analytics في GA، أو في المعاينة عبر AMA. تم استبدال هذه التجربة بتوصيات الأمان التي يتم جمعها باستخدام فحص الجهاز بدون عامل.
يتم إنشاء توصيات حماية نقطة النهاية على مرحلتين. المرحلة الأولى هي اكتشاف حل الكشف عن تهديدات نقاط النهاية والرد عليها. والثاني هو تقييم تكوين الحل. توفر الجداول التالية تفاصيل التجارب الحالية والجديدة لكل مرحلة.
تعرف على كيفية إدارة توصيات الكشف عن تهديدات نقاط النهاية والرد عليها الجديدة (بدون عامل).
حل الكشف عن نقطة النهاية والاستجابة لها - الاكتشاف
| المنطقة | التجربة الحالية (استنادا إلى AMA/MMA) | تجربة جديدة (استنادا إلى فحص الجهاز بدون عامل) |
|---|---|---|
| ما المطلوب لتصنيف مورد على أنه سليم؟ | مكافحة الفيروسات في مكانها. | يوجد حل الكشف عن تهديدات نقاط النهاية والرد عليها. |
| ما المطلوب للحصول على التوصية؟ | وكيل تحليلات السجل | فحص الجهاز بدون عامل |
| ما هي الخطط المدعومة؟ | - CSPM التأسيسي (مجاني) - Defender for Servers الخطة 1 والخطة 2 |
- إدارة وضع الأمان السحابي في Defender - Defender for Servers الخطة 2 |
| ما هو الإصلاح المتوفر؟ | تثبيت برامج Microsoft المضادة للبرامج الضارة. | تثبيت Defender لنقطة النهاية على الأجهزة/الاشتراكات المحددة. |
حل الكشف عن نقطة النهاية والاستجابة - تقييم التكوين
| المنطقة | التجربة الحالية (استنادا إلى AMA/MMA) | تجربة جديدة (استنادا إلى فحص الجهاز بدون عامل) |
|---|---|---|
| تصنف الموارد على أنها غير سليمة إذا كان واحد أو أكثر من عمليات التحقق من الأمان غير سليمة. | ثلاثة فحوصات أمنية: - الحماية في الوقت الحقيقي متوقفة عن التشغيل - التوقيعات قديمة. - لا يتم تشغيل كل من الفحص السريع والمسح الضوئي الكامل لمدة سبعة أيام. |
ثلاثة فحوصات أمنية: - مكافحة الفيروسات متوقفة عن التشغيل أو تم تكوينها جزئيا - التوقيعات قديمة - لا يتم تشغيل كل من الفحص السريع والمسح الضوئي الكامل لمدة سبعة أيام. |
| المتطلبات الأساسية للحصول على التوصية | حل مكافحة البرامج الضارة في مكانه | حل الكشف عن تهديدات نقاط النهاية والرد عليها في مكانه. |
ما هي التوصيات التي يتم إهمالها؟
ويلخص الجدول التالي الجدول الزمني للتوصيات التي يجري إهمالها واستبدالها.
| التوصية | المندوب | الموارد المدعومة | تاريخ الإهمال | توصية الاستبدال |
|---|---|---|---|---|
| يجب تثبيت حماية نقطة النهاية على أجهزتك (عامة) | MMA/AMA | Azure غير Azure (Windows وLinux) | يوليو 2024 | توصية جديدة بدون عامل |
| يجب حل مشكلات حماية نقطة النهاية على أجهزتك (عامة) | MMA/AMA | Azure (Windows) | يوليو 2024 | توصية جديدة بدون عامل |
| يجب حل حالات فشل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | MMA | مجموعات توسعة الأجهزة الظاهرية في Azure | أغسطس 2024 | لا يوجد بديل |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | MMA | مجموعات توسعة الأجهزة الظاهرية في Azure | أغسطس 2024 | لا يوجد بديل |
| يجب أن يكون حل حماية نقطة النهاية على الأجهزة | MMA | الموارد غير التابعة ل Azure (Windows) | أغسطس 2024 | لا يوجد بديل |
| تثبيت حل حماية نقطة النهاية على أجهزتك | MMA | Azure وغير Azure (Windows) | أغسطس 2024 | توصية جديدة بدون عامل |
| يجب حل مشكلات حماية نقطة النهاية على الأجهزة | MMA | Azure وغير Azure (Windows وLinux) | أغسطس 2024 | توصية جديدة بدون عامل. |
تدعم تجربة التوصيات الجديدة المستندة إلى فحص الجهاز بدون عامل كلا من نظامي التشغيل Windows وLinux عبر الأجهزة متعددة السحابات.
كيف سيعمل الاستبدال؟
- سيتم إهمال التوصيات الحالية المقدمة من عامل Log Analytics أو AMA بمرور الوقت.
- سيتم استبدال بعض هذه التوصيات الحالية بتوصيات جديدة بناء على فحص الجهاز بدون عامل.
- تظل التوصيات الموجودة حاليا في GA في مكانها حتى يتوقف عامل Log Analytics.
- سيتم استبدال التوصيات الموجودة حاليا في المعاينة عندما تتوفر التوصية الجديدة في المعاينة.
ماذا يحدث مع درجة الأمان؟
- ستستمر التوصيات الموجودة حاليا في GA في التأثير على درجة الأمان.
- توجد التوصيات الجديدة الحالية والقادمة ضمن نفس عنصر تحكم Microsoft Cloud Security Benchmark، ما يضمن عدم وجود تأثير مكرر على درجة الأمان.
كيف أعمل الاستعداد للتوصيات الجديدة؟
- تأكد من تمكين فحص الجهاز بدون عامل كجزء من Defender for Servers الخطة 2 أو إدارة وضع الأمان السحابي في Defender.
- إذا كانت مناسبة للبيئة الخاصة بك، للحصول على أفضل تجربة نوصي بإزالة التوصيات المهملة عند توفر توصية التوفر العام البديلة. للقيام بذلك، قم بتعطيل التوصية في مبادرة Defender for Cloud المضمنة في Azure Policy.
تجربة File Integrity Monitoring - إرشادات التغييرات والترحيل
يقدم Microsoft Defender for Servers الخطة 2 الآن حلا جديدا لمراقبة تكامل الملفات (FIM) مدعوما بتكامل Microsoft Defender لنقطة النهاية (MDE). بمجرد أن تصبح FIM التي يتم تشغيلها بواسطة MDE عامة، ستتم إزالة FIM التي يتم تشغيلها بواسطة تجربة AMA في مدخل Defender for Cloud. في نوفمبر، سيتم إهمال FIM المشغل بواسطة MMA.
الترحيل من FIM عبر AMA
إذا كنت تستخدم FIM حاليا عبر AMA:
لن يتوفر إلحاق اشتراكات أو خوادم جديدة ب FIM استنادا إلى AMA وملحق تعقب التغيير، بالإضافة إلى عرض التغييرات، من خلال مدخل Defender for Cloud بدءا من 30 مايو.
إذا كنت ترغب في متابعة استهلاك أحداث FIM التي تم جمعها بواسطة AMA، يمكنك الاتصال يدويا بمساحة العمل ذات الصلة وعرض التغييرات في جدول تعقب التغييرات باستخدام الاستعلام التالي:
ConfigurationChange | where TimeGenerated > ago(14d) | where ConfigChangeType in ('Registry', 'Files') | summarize count() by Computer, ConfigChangeTypeإذا كنت ترغب في متابعة إعداد نطاقات جديدة أو تكوين قواعد المراقبة، يمكنك استخدام قواعد اتصال البيانات يدويا لتكوين أو تخصيص جوانب مختلفة من جمع البيانات.
يوصي Microsoft Defender for Cloud بتعطيل FIM عبر AMA، وإلحاق بيئتك بإصدار FIM الجديد استنادا إلى Defender لنقطة النهاية عند الإصدار.
تعطيل FIM عبر AMA
لتعطيل FIM عبر AMA، قم بإزالة حل Azure Change Tracking. لمزيد من المعلومات، راجع إزالة حل ChangeTracking.
بدلا من ذلك، يمكنك إزالة قواعد جمع البيانات (DCR) لتعقب تغيير الملفات ذات الصلة. لمزيد من المعلومات، راجع Remove-AzDataCollectionRuleAssociation أو Remove-AzDataCollectionRule.
بعد تعطيل مجموعة أحداث الملف باستخدام إحدى الطرق المذكورة أعلاه:
- سيتم إيقاف تجميع الأحداث الجديدة في النطاق المحدد.
- تظل الأحداث التاريخية التي تم تجميعها بالفعل مخزنة في مساحة العمل ذات الصلة ضمن جدول ConfigurationChange في قسم Change Tracking . ستبقى هذه الأحداث متوفرة في مساحة العمل ذات الصلة وفقا لفترة الاستبقاء المحددة في مساحة العمل هذه. لمزيد من المعلومات، راجع كيفية عمل الاستبقاء والأرشفة.
الترحيل من FIM عبر عامل Log Analytics (MMA)
إذا كنت تستخدم FIM حاليا عبر عامل تحليلات السجل (MMA):
سيتم إهمال File Integrity Monitoring استنادا إلى عامل Log Analytics (MMA) في نهاية نوفمبر 2024.
يوصي Microsoft Defender for Cloud بتعطيل FIM عبر MMA، وإلحاق بيئتك بإصدار FIM الجديد استنادا إلى Defender لنقطة النهاية عند الإصدار.
تعطيل FIM عبر MMA
لتعطيل FIM عبر MMA، قم بإزالة حل Azure Change Tracking. لمزيد من المعلومات، راجع إزالة حل ChangeTracking.
بعد تعطيل مجموعة أحداث الملف:
- سيتم إيقاف تجميع الأحداث الجديدة في النطاق المحدد.
- تظل الأحداث التاريخية التي تم تجميعها بالفعل مخزنة في مساحة العمل ذات الصلة ضمن جدول ConfigurationChange في قسم Change Tracking . ستبقى هذه الأحداث متوفرة في مساحة العمل ذات الصلة وفقا لفترة الاستبقاء المحددة في مساحة العمل هذه. لمزيد من المعلومات، راجع كيفية عمل الاستبقاء والأرشفة.
تجربة الأساس
تم تصميم ميزة التكوين الخاطئ للأساسات على الأجهزة الظاهرية لضمان التزام الأجهزة الظاهرية بأفضل ممارسات الأمان والنهج التنظيمية. يقوم التكوين الخاطئ للأساسات بتقييم تكوين الأجهزة الظاهرية مقابل خطوط الأمان الأساسية المعرفة مسبقا، ويحدد أي انحرافات أو تكوينات خاطئة قد تشكل خطرا على بيئتك.
يتم جمع معلومات الجهاز للتقييم باستخدام عامل Log Analytics (المعروف أيضا باسم عامل مراقبة Microsoft (MMA)). تم تعيين MMA ليتم إهماله في نوفمبر 2024، وستحدث التغييرات التالية:
سيتم جمع معلومات الجهاز باستخدام تكوين ضيف نهج Azure.
يتم تمكين نهج Azure التالية مع تكوين ضيف نهج Azure:
"يجب أن تفي أجهزة Windows بمتطلبات أساس أمان حساب Azure"
"يجب أن تفي أجهزة Linux بمتطلبات أساس أمان حساب Azure"
إشعار
إذا قمت بإزالة هذه النهج، فلن تتمكن من الوصول إلى مزايا ملحق تكوين ضيف نهج Azure.
لن يتم تضمين توصيات نظام التشغيل المستندة إلى أساسات أمان الحوسبة في Defender for Cloud foundational CSPM. ستتوفر هذه التوصيات عند تمكين Defender for Servers الخطة 2.
راجع صفحة تسعير Defender for Cloud للتعرف على معلومات تسعير خطة خوادم Defender 2.
هام
يجب أن تدرك أن الميزات الإضافية التي يوفرها تكوين ضيف نهج Azure الموجودة خارج مدخل Defender for Cloud غير مضمنة مع Defender for Cloud، وتخضع لنهج تسعير تكوينات ضيف نهج Azure. على سبيل المثال المعالجة والنهج المخصصة. لمزيد من المعلومات، راجع صفحة تسعير تكوين ضيف نهج Azure.
ستستمر التوصيات المقدمة من MCSB والتي ليست جزءا من خطوط أساس أمان حساب Windows وLinux، في أن تكون جزءا من CSPM التأسيسي المجاني.
تثبيت تكوين ضيف نهج Azure
من أجل الاستمرار في تلقي تجربة الأساس، تحتاج إلى تمكين Defender for Servers الخطة 2 وتثبيت تكوين ضيف نهج Azure. سيضمن ذلك استمرار تلقي نفس التوصيات وإرشادات التصلب التي كنت تتلقاها من خلال تجربة الأساس.
اعتمادا على البيئة الخاصة بك، قد تحتاج إلى اتخاذ الخطوات التالية:
راجع مصفوفة الدعم لتكوين ضيف نهج Azure.
تثبيت تكوين ضيف نهج Azure على أجهزتك.
أجهزة Azure: في مدخل Defender for Cloud، في صفحة التوصيات، ابحث عن ملحق تكوين الضيف وحدده ، يجب تثبيته على الأجهزة، ومعالجة التوصية.
(أجهزة Azure الظاهرية فقط) يجب تعيين هوية مدارة.
- في مدخل Defender for Cloud، في صفحة التوصيات، ابحث عن وحدد يجب نشر ملحق تكوين الضيف للأجهزة الظاهرية بهوية مدارة معينة من قبل النظام، ومعالجة التوصية.
(أجهزة Azure الظاهرية فقط) اختيارية: لتوفير تكوين ضيف نهج Azure تلقائيا عبر اشتراكك بأكمله، يمكنك تمكين عامل تكوين الضيف (معاينة).
- لتمكين عامل تكوين الضيف:
- قم بتسجيل الدخول إلى بوابة Azure.
- انتقل إلى إعدادات>البيئة إعدادات الاشتراك>الخاص بك ومراقبته.
- حدد تكوين الضيف.
- قم بتبديل عامل تكوين الضيف (معاينة) إلى تشغيل.
- حدد متابعة.
- لتمكين عامل تكوين الضيف:
GCP وAWS: يتم تثبيت تكوين ضيف نهج Azure تلقائيا عند توصيل مشروع GCP الخاص بك، أو توصيل حسابات AWS الخاصة بك مع تمكين التوفير التلقائي ل Azure Arc، إلى Defender for Cloud.
الأجهزة المحلية: يتم تمكين تكوين ضيف نهج Azure بشكل افتراضي عند إلحاق الأجهزة المحلية كجهاز أو أجهزة ظاهرية ممكنة ل Azure Arc.
بمجرد الانتهاء من الخطوات الضرورية لتثبيت تكوين ضيف نهج Azure، سوف تحصل تلقائيا على حق الوصول إلى ميزات الأساس استنادا إلى تكوين ضيف نهج Azure. سيضمن ذلك استمرار تلقي نفس التوصيات وإرشادات التصلب التي كنت تتلقاها من خلال تجربة الأساس.
التغييرات في التوصيات
مع إهمال MMA، يتم تعيين التوصيات التالية المستندة إلى MMA ليتم إهمالها:
سيتم استبدال التوصيات المهملة بتوصيات قاعدة تكوين ضيف نهج Azure التالية:
- يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزة Windows (يتم تشغيلها بواسطة تكوين الضيف)
- يجب معالجة نقاط الضعف في تكوين الأمان على أجهزة Linux (مدعوم من تكوين الضيف)
- يجب تثبيت ملحق تكوين الضيف على الأجهزة
تكرار التوصيات
عند تمكين Defender for Cloud على اشتراك Azure، يتم تمكين معيار أمان السحابة من Microsoft (MCSB)، بما في ذلك أساسات أمان الحوسبة التي تقيم توافق نظام تشغيل الجهاز، كمعيار توافق افتراضي. تقدم إدارة وضع أمان السحابة الأساسية المجانية (CSPM) في Defender for Cloud توصيات الأمان استنادا إلى MCSB.
إذا كان الجهاز يقوم بتشغيل كل من تكوين ضيف MMA وAzure Policy، فسترى توصيات مكررة. يحدث تكرار التوصيات لأن كلا الأسلوبين يعملان في نفس الوقت وينتجان نفس التوصيات. ستؤثر هذه التكرارات على التوافق وSecure Score.
كحل بديل، يمكنك تعطيل توصيات MMA، "يجب تكوين الأجهزة بشكل آمن"، و"يجب تمكين التوفير التلقائي لعامل Log Analytics على الاشتراكات"، من خلال الانتقال إلى صفحة التوافق التنظيمي في Defender for Cloud.
بمجرد تحديد التوصية، يجب عليك تحديد الأجهزة ذات الصلة وإعفائها.
بعض قواعد التكوين الأساسية التي يتم تشغيلها بواسطة أداة تكوين الضيف لنهج Azure هي أكثر حدة وتوفر تغطية أوسع. ونتيجة لذلك، يمكن أن يؤثر الانتقال إلى قوة ميزة الخطوط الأساسية بواسطة تكوين ضيف نهج Azure على حالة التوافق نظرا لأنها تتضمن عمليات التحقق التي ربما لم يتم إجراؤها مسبقا.
توصيات الاستعلام:
مع إيقاف MMA، لم يعد Defender for Cloud يستعلم عن التوصيات من خلال معلومات مساحة عمل Log Analytic. بدلا من ذلك، يستخدم Defender for Cloud الآن Azure Resource Graph لواجهة برمجة التطبيقات، واستعلامات المدخل، للاستعلام عن معلومات التوصية.
فيما يلي نموذجان للاستعلامات التي يمكنك استخدامها:
الاستعلام عن جميع القواعد غير السليمة لمورد معين
Securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with machineId:string '/providers/Microsoft.Security/' * | where machineId == '{machineId}'جميع القواعد غير السليمة والمبلغ إذا كانت الأجهزة غير سليمة لكل منها
securityresources | where type == "microsoft.security/assessments/subassessments" | extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id) | where assessmentKey == '1f655fb7-63ca-4980-91a3-56dbc2b715c6' or assessmentKey == '8c3d9ad0-3639-4686-9cd2-2b2ab2609bda' | parse-where id with * '/subassessments/' subAssessmentId:string | parse-where id with machineId:string '/providers/Microsoft.Security/' * | extend status = tostring(properties.status.code) | summarize count() by subAssessmentId, status
إعداد Defender ل SQL على الأجهزة
يمكنك معرفة المزيد حول Defender for SQL Server على خطة إهمال عامل Log Analytics للأجهزة.
إذا كنت تستخدم عامل Log Analytics الحالي/ عملية التزويد التلقائي لعامل Azure Monitor، فيجب عليك الترحيل إلى عامل مراقبة Azure الجديد ل SQL Server على عملية التزويد التلقائي للأجهزة. عملية الترحيل سلسة وتوفر حماية مستمرة لجميع الأجهزة.
الترحيل إلى عملية التزويد التلقائي ل AMA التي تستهدف خادم SQL
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن Microsoft Defender for Cloud وحدده.
في قائمة Defender for Cloud، حدد Environment settings.
حدد الاشتراك ذا الصلة.
ضمن خطة قواعد البيانات، حدد الإجراء المطلوب.
حدد تمكين في النافذة المنبثقة.
حدد حفظ.
بمجرد تمكين عملية التزويد التلقائي ل AMA المستهدفة بخادم SQL، يجب تعطيل عملية التزويد التلقائي لعامل Log Analytics/عامل Azure Monitor وإلغاء تثبيت MMA على جميع خوادم SQL:
لتعطيل عامل Log Analytics:
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن Microsoft Defender for Cloud وحدده.
في قائمة Defender for Cloud، حدد Environment settings.
حدد الاشتراك ذا الصلة.
ضمن خطة قاعدة البيانات، حدد الإعدادات.
قم بتبديل عامل Log Analytics إلى Off.
حدد متابعة.
حدد حفظ.
تخطيط الهجرة
نوصيك بالتخطيط لترحيل الوكيل وفقا لمتطلبات عملك. يلخص الجدول إرشاداتنا.
| هل تستخدم Defender للخوادم؟ | هل ميزات Defender for Servers هذه مطلوبة في GA: مراقبة تكامل الملفات، وتوصيات حماية نقطة النهاية، وتوصيات أساس الأمان؟ | هل تستخدم Defender لخوادم SQL على الأجهزة أو مجموعة سجلات AMA؟ | خطة الترحيل |
|---|---|---|---|
| نعم | نعم | لا | 1. تمكين تكامل Defender لنقطة النهاية ومسح الجهاز بدون عامل. 2. انتظر التوفر العام لجميع الميزات مع النظام الأساسي البديل (يمكنك استخدام إصدار المعاينة سابقا). 3. بمجرد أن تكون الميزات GA، قم بتعطيل عامل Log Analytics. |
| لا | --- | لا | يمكنك إزالة عامل Log Analytics الآن. |
| لا | --- | نعم | 1. يمكنك الترحيل إلى التزويد التلقائي ل SQL ل AMA الآن. 2. تعطيل Log Analytics/Azure Monitor Agent. |
| نعم | نعم | نعم | 1. تمكين تكامل Defender لنقطة النهاية ومسح الجهاز بدون عامل. 2. يمكنك استخدام عامل Log Analytics و AMA جنبا إلى جنب للحصول على جميع الميزات في GA. تعرف على المزيد حول تشغيل العوامل جنبا إلى جنب. 3. الترحيل إلى التزويد التلقائي ل SQL ل AMA في Defender for SQL على الأجهزة. بدلا من ذلك، ابدأ الترحيل من عامل Log Analytics إلى AMA في أبريل 2024. 4. بمجرد الانتهاء من الترحيل، قم بتعطيل عامل Log Analytics. |
| نعم | لا | نعم | 1. تمكين تكامل Defender لنقطة النهاية ومسح الجهاز بدون عامل. 2. يمكنك الترحيل إلى التزويد التلقائي ل SQL ل AMA في Defender for SQL على الأجهزة الآن. 3. تعطيل عامل Log Analytics. |
تجربة ترحيل MMA
تجربة ترحيل MMA هي أداة تساعدك على الترحيل من MMA إلى AMA. توفر التجربة دليلا خطوة بخطوة لمساعدتك على ترحيل أجهزتك من MMA إلى AMA.
باستخدام هذه الأداة، يمكنك:
- ترحيل الخوادم من الإعداد القديم من خلال مساحة عمل Log analytic.
- تأكد من أن الاشتراكات تفي بجميع المتطلبات الأساسية لتلقي جميع مزايا Defender for Servers Plan 2.
- الترحيل إلى الإصدار الجديد من FIM عبر MDE.
قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى إعدادات Microsoft Defender for Cloud>Environment.
حدد ترحيل MMA.
حدد اتخاذ إجراء لأحد الإجراءات المتوفرة:
اسمح للتجربة بالتحميل واتبع الخطوات لإكمال الترحيل.