تمكين وضع الأمان المدرك للبيانات

  • مقالة

توضح هذه المقالة كيفية تمكين وضع الأمان المدرك للبيانات في Microsoft Defender for Cloud.

قبل أن تبدأ

  • قبل تمكين وضع الأمان المدرك للبيانات، راجع الدعم والمتطلبات الأساسية.
  • عند تمكين خطط إدارة وضع الأمان السحابي في Defender أو Defender for Storage، يتم تمكين ملحق اكتشاف البيانات الحساسة تلقائيا. يمكنك تعطيل هذا الإعداد إذا كنت لا تريد استخدام وضع الأمان المدرك للبيانات، ولكن نوصي باستخدام الميزة للحصول على أكبر قيمة من Defender for Cloud.
  • يتم تحديد البيانات الحساسة استنادا إلى إعدادات حساسية البيانات في Defender for Cloud. يمكنك تخصيص إعدادات حساسية البيانات لتحديد البيانات التي تعتبرها مؤسستك حساسة.
  • يستغرق الأمر ما يصل إلى 24 ساعة لمشاهدة نتائج الاكتشاف الأول بعد تمكين الميزة.

تمكين في إدارة وضع الأمان السحابي في Defender (Azure)

اتبع هذه الخطوات لتمكين وضع الأمان المدرك للبيانات. لا تنس مراجعة الأذونات المطلوبة قبل البدء.

  1. انتقل إلى إعدادات Microsoft Defender for Cloud>Environmental.

  2. حدد اشتراك Azure ذي الصلة.

  3. بالنسبة للخطة إدارة وضع الأمان السحابي في Defender، حدد حالة التشغيل.

    إذا كان إدارة وضع الأمان السحابي في Defender قيد التشغيل بالفعل، فحدد الإعدادات في عمود مراقبة تغطية خطة إدارة وضع الأمان السحابي في Defender وتأكد من تعيين مكون اكتشاف البيانات الحساسة إلى حالة تشغيل.

  4. بمجرد تشغيل اكتشاف البيانات الحساسة في إدارة وضع الأمان السحابي في Defender، سيدمج الدعم تلقائيا لأنواع الموارد الإضافية مع توسع نطاق أنواع الموارد المدعومة.

تمكين في إدارة وضع الأمان السحابي في Defender (AWS)

قبل أن تبدأ

  • لا تنس: مراجعة متطلبات اكتشاف AWS والأذونات المطلوبة.
  • تحقق من عدم وجود نهج يمنع الاتصال بمستودعات Amazon S3.
  • بالنسبة لمثيلات RDS: يتم دعم تشفير KMS عبر الحسابات، ولكن قد تمنع النهج الإضافية المتعلقة بالوصول إلى KMS الوصول.

تمكين موارد AWS

مستودعات S3 ومثيلات RDS

  1. تمكين وضع أمان البيانات كما هو موضح أعلاه
  2. تابع الإرشادات لتنزيل قالب CloudFormation وتشغيله في AWS.

يبدأ الاكتشاف التلقائي لمستودعات S3 في حساب AWS تلقائيا.

بالنسبة إلى مستودعات S3، يعمل الماسح الضوئي Defender for Cloud في حساب AWS الخاص بك ويتصل بمستودعات S3 الخاصة بك.

بالنسبة لمثيلات RDS، سيتم تشغيل الاكتشاف بمجرد تشغيل اكتشاف البيانات الحساسة . سيأخذ الماسح الضوئي أحدث لقطة تلقائية لمثيل ما، وينشئ لقطة يدوية داخل حساب المصدر، وينسخها إلى بيئة معزولة مملوكة ل Microsoft داخل نفس المنطقة.

يتم استخدام اللقطة لإنشاء مثيل مباشر يتم جمعه ومسحه ضوئيا ثم إتلافه على الفور (جنبا إلى جنب مع اللقطة المنسخة).

يتم الإبلاغ عن نتائج الفحص فقط بواسطة النظام الأساسي للمسح الضوئي.

Diagram explaining the RDS scanning platform.

التحقق من وجود نهج حظر S3

إذا لم تعمل عملية التمكين بسبب نهج محظور، فتحقق مما يلي:

  • تأكد من أن نهج مستودع S3 لا يمنع الاتصال. في مستودع AWS S3، حدد علامة التبويب > Permissions Bucket policy. تحقق من تفاصيل النهج للتأكد من عدم حظر خدمة الماسح الضوئي ل Microsoft Defender for Cloud التي تعمل في حساب Microsoft في AWS.
  • تأكد من عدم وجود نهج SCP يمنع الاتصال بمستودع S3. على سبيل المثال، قد يمنع نهج SCP استدعاءات واجهة برمجة التطبيقات للقراءة إلى منطقة AWS حيث تتم استضافة مستودع S3 الخاص بك.
  • تحقق من أن استدعاءات واجهة برمجة التطبيقات المطلوبة هذه مسموح بها بواسطة نهج SCP الخاص بك: AssumeRole، GetBucketLocation، GetObject، ListBucket، GetBucketPublicAccessBlock
  • تحقق من أن نهج SCP يسمح باستدعاءات منطقة AWS us-east-1، وهي المنطقة الافتراضية لمكالمات واجهة برمجة التطبيقات.

تمكين المراقبة المدركة للبيانات في Defender for Storage

يتم تمكين الكشف عن تهديدات البيانات الحساسة بشكل افتراضي عند تمكين مكون اكتشاف البيانات الحساسة في خطة Defender for Storage. تعرف على المزيد.

سيتم فحص موارد Azure Storage فقط إذا تم إيقاف تشغيل خطة إدارة وضع الأمان السحابي في Defender.

الخطوات التالية

مراجعة مخاطر الأمان في بياناتك