الأسئلة الشائعة حول جمع البيانات والوكلاء ومساحات العمل

يتم تشغيل جمع البيانات تلقائيا عند تمكين خطة Defender التي تتطلب مكون مراقبة.

عند تمكين التوفير التلقائي، يستخدم Defender for Cloud عامل Log Analytics على جميع أجهزة Azure الظاهرية المدعومة وأي أجهزة جديدة تم إنشاؤها. يوصى بالتزويد التلقائي ولكن يتوفر أيضًا تثبيت العامل اليدوي. تعرف على كيفية تثبيت ملحق عامل Log Analytics.

يمكّن العامل حدث إنشاء العملية 4688 وحقل CommandLine داخل الحدث 4688. يتم تسجيل العمليات الجديدة التي تم إنشاؤها على الجهاز الظاهري بواسطة EventLog ومراقبتها بواسطة خدمات الكشف في Defender for Cloud. لمزيد من المعلومات حول التفاصيل المسجلة لكل عملية جديدة، راجع حقول الوصف في 4688. يجمع العامل أيضًا أحداث 4688 التي تم إنشاؤها على الجهاز الظاهري ويخزنها في البحث.

كما يُمكّن العامل جمع البيانات لعناصر تحكم التطبيقات التكيفية، ويكوِّن Defender for Cloud نهج AppLocker المحلي في وضع التدقيق للسماح لجميع التطبيقات. يؤدي هذا النهج إلى إنشاء AppLocker للأحداث، والتي يتم جمعها واستخدامها بعد ذلك بواسطة Defender for Cloud. من المهم ملاحظة أن هذا النهج لم يتم تكوينه على أي أجهزة يوجد عليها بالفعل نهج AppLocker تم تكوينه.

عندما يكتشف Defender for Cloud نشاطا مشبوها على الجهاز الظاهري، يتلقى العميل إشعارا بالبريد الإلكتروني إذا تم توفير معلومات جهة اتصال الأمان. يظهر التنبيه أيضًا في لوحة معلومات تنبيهات الأمان الخاصة بـ Defender for Cloud.

لمراقبة الثغرات الأمنية والتهديدات، يعتمد Microsoft Defender for Cloud على عامل Log Analytics - هذا العامل هو نفسه المستخدم من قبل خدمة Azure Monitor.

يشار إلى العامل أحيانًا باسم عامل مراقبة Microsoft (أو "MMA").

يجمع العامل تفاصيل التكوين المختلفة المتعلقة بالأمان وسجلات الأحداث من الأجهزة المتصلة، ثم ينسخ البيانات إلى مساحة عمل Log Analytics لمزيد من التحليل. ومن أمثلة هذه البيانات: نوع نظام التشغيل وإصداره، وسجلات نظام التشغيل (سجلات أحداث Windows)، والعمليات الجارية، واسم الجهاز، وعناوين IP، والمستخدم الذي سجل الدخول.

تأكد من أن أجهزتك تعمل بأحد أنظمة التشغيل المدعومة للوكيل كما هو موضح في الصفحات التالية:

• عامل Log Analytics لأنظمة التشغيل المدعومة من Windows

• عامل Log Analytics لأنظمة التشغيل المدعومة من Linux

تعرف على المزيد حول البيانات التي تم جمعها بواسطة عامل Log Analytics.

تتأهل أجهزة Windows أو Linux IaaS الظاهرية إذا:

• ملحق عامل Log Analytics غير مثبت حاليا على الجهاز الظاهري.
• كان الجهاز الظاهري في حالة التشغيل.
• تم تثبيت Windows أو Linux Azure Virtual Machine Agent.
• لا يتم استخدام الجهاز الظاهري كجهاز مثل جدار حماية تطبيق الويب أو جدار حماية الجيل التالي.

للحصول على قائمة كاملة بأحداث الأمان التي جمعها العامل، راجع ما أنواع الأحداث المخزنة لإعدادات أحداث الأمان "الشائعة" و"الأدنى"؟.

عندما يتم تثبيت وكيل مراقبة كملحق، فإن تكوين الامتداد يسمح بالإبلاغ إلى مساحة عمل واحدة فقط. لا يمنع Defender for Cloud الاتصالات الموجودة بمساحات عمل المستخدم. يخزن Defender for Cloud بيانات الأمان من جهاز ظاهري في مساحة عمل متصلة بالفعل عند تثبيت حل "الأمان" أو "SecurityCenterFree" عليه. قد يقوم Defender for Cloud بترقية إصدار الملحق إلى أحدث إصدار في هذه العملية.

لمزيد من المعلومات، راجع التزويد التلقائي في حالات تثبيت العامل الموجود مسبقًا.

إذا تم تثبيت عامل Log Analytics مباشرة على الجهاز الظاهري (وليس كملحق Azure)، يقوم Defender for Cloud بتثبيت ملحق عامل Log Analytics، وقد يقوم بترقية عامل Log Analytics إلى أحدث إصدار.

يستمر العامل المثبت في الإبلاغ عن مساحات العمل التي تم تكوينها بالفعل، والتقارير إلى مساحة العمل التي تم تكوينها في Defender for Cloud. (Multi-homing مدعوم على أجهزة Windows.)

بالنسبة لمساحات عمل المستخدم المخصصة، تحتاج إلى تثبيت حل "الأمان" أو "SecurityCenterFree" عليه بحيث يمكن ل Defender for Cloud معالجة الأحداث من الأجهزة الظاهرية وأجهزة الكمبيوتر التي تقوم بإعداد التقارير إلى مساحة العمل هذه.

بالنسبة لأجهزة Linux، لم يتم دعم التوجيه المتعدد للعامل حتى الآن. إذا تم الكشف عن تثبيت عامل موجود، فلا يستخدم Defender for Cloud تلقائيا وكيلا أو يغير تكوين الجهاز.

بالنسبة للأجهزة الموجودة على الاشتراكات التي تم إلحاقها ب Defender for Cloud قبل 17 مارس 2019، لم يتم دعم التوجيه المتعدد للوكيل حتى الآن. إذا تم الكشف عن تثبيت عامل موجود، فلا يستخدم Defender for Cloud تلقائيا وكيلا أو يغير تكوين الجهاز. بالنسبة إلى هذه الأجهزة، راجع توصية «حل مشكلات سلامة وكيل المراقبة على أجهزتك» لحل مشكلات تثبيت الوكيل على هذه الأجهزة.

لمزيد من المعلومات، راجع القسم التالي ماذا يحدث إذا كان مدير عمليات مركز النظام أو عامل OMS المباشر مثبتًا بالفعل على الجهاز الظاهري الخاص بي؟

ينفذ Defender for Cloud نهج Azure الذي لا يسمح بتثبيت عامل Log Analytics أثناء تثبيت عامل System Center Operations Manager على الجهاز. يتمتع كل من الوكلاء بالقدرة على متعددة المنازل وتقديم تقرير إلى System Center Operations Manager ومساحة عمل Log Analytics. يشترك عامل Operations Manager وعامل Log Analytics في مكتبات وقت التشغيل الشائعة. ملاحظة - إذا تم تثبيت الإصدار 2012 من عامل Operations Manager، فلا تقم بتشغيل التوفير التلقائي (يمكن فقدان قدرات الإدارة عندما يكون خادم Operations Manager هو أيضا الإصدار 2012).

إذا قمت بإزالة ملحق مراقبة Microsoft، فلن يتمكن Defender for Cloud من جمع بيانات الأمان من الجهاز الظاهري ولا تتوفر بعض توصيات الأمان والتنبيهات. في غضون 24 ساعة، يحدد Defender for Cloud أن الجهاز الظاهري يفتقد الملحق ويعيد تثبيت الملحق.

يوصى بشدة بنشر الملحقات باستخدام Defender for Cloud من أجل الحصول على تنبيهات الأمان والتوصيات حول تحديثات النظام وثغرات نظام التشغيل وحماية نقطة النهاية. يؤدي إيقاف تشغيل الملحقات إلى الحد من هذه التنبيهات والتوصيات. ومع ذلك، يمكنك تعطيل التوفير التلقائي لوكيل أو ملحق معين:

لتعطيل التوفير التلقائي لعامل أو ملحق معين:

1. من قائمة مدخل Microsoft Azure، افتح Defender for Cloud وحدد إعدادات البيئة.

2. حدد الاشتراك ذا الصلة.

3. في عمود مراقبة تغطية خطة Defender for Server، حدد الإعدادات.

   

4. أوقف تشغيل الملحق الذي تريد إيقاف توفيره تلقائيا.

   

5. حدد حفظ.

قد ترغب في إلغاء الاشتراك في التوفير التلقائي إذا كانت هذه السيناريوهات تنطبق عليك:

• ينطبق التثبيت التلقائي للوكيل بواسطة Defender for Cloud على الاشتراك بأكمله. لا يمكنك تطبيق التثبيت التلقائي على مجموعة فرعية من الأجهزة الظاهرية. إذا كانت هناك أجهزة ظاهرية هامة لا يمكن تثبيتها مع عامل Log Analytics، فيجب عليك إلغاء الاشتراك في التوفير التلقائي.

• يقوم تثبيت ملحق عامل Log Analytics بتحديث إصدار العامل. ينطبق هذا على عامل مباشر وعامل System Center Operations Manager (في الأخير، يشارك مدير العمليات وعامل Log Analytics مكتبات وقت التشغيل الشائعة - التي يتم تحديثها في العملية). إذا كان عامل Operations Manager المثبت من الإصدار 2012 وتمت ترقيته، فإنه يمكن فقدان إمكانات الإدارة عندما يكون خادم Operations Manager من الإصدار 2012 أيضًا. ضع في اعتبارك إلغاء التزويد التلقائي إذا كان عامل Operations Manager المثبت من الإصدار 2012.

• إذا كنت ترغب في تجنب إنشاء مساحات عمل متعددة لكل اشتراك ولديك مساحة عمل مخصصة خاصة بك داخل الاشتراك، فسيكون لديك خياران:

  • يمكنك إلغاء الاشتراك في التزويد التلقائي. بعد الترحيل، قم بتعيين إعدادات مساحة العمل الافتراضية كما هو موضح في كيف يمكنني استخدام مساحة عمل Log Analytics الموجودة؟

  • أو، يمكنك السماح بإكمال الترحيل، وتثبيت عامل Log Analytics على الأجهزة الظاهرية، واتصال الأجهزة الظاهرية بمساحة العمل التي تم إنشاؤها. ثم حدد مساحة العمل المخصصة الخاصة بك عن طريق تعيين إعداد مساحة العمل الافتراضية مع الاشتراك في إعادة تكوين العوامل المثبتة بالفعل. لمزيد من المعلومات، راجع كيف يمكنني استخدام مساحة عمل Log Analytics الحالية؟

عند اكتمال الترحيل، لا يمكن لـ Defender for Cloud جمع بيانات الأمان من الجهاز الظاهري وتكون بعض توصيات الأمان والتنبيهات غير متوفرة. إذا قمت بالإلغاء، فقم بتثبيت عامل Log Analytics يدويًا. راجع الخطوات الموصى بها عند إلغاء الاشتراك.

قم بتثبيت ملحق عامل Log Analytics يدويًا حتى يتمكن Defender for Cloud من جمع بيانات الأمان من الأجهزة الظاهرية وتقديم التوصيات والتنبيهات. راجع تثبيت العامل لجهاز Windows الظاهري أو تثبيت العامل لجهاز Linux VM للحصول على إرشادات حول التثبيت.

يمكنك توصيل العامل بأي مساحة عمل مخصصة موجودة أو مساحة عمل تم إنشاؤها بواسطة Defender for Cloud. إذا لم يكن لدى مساحة العمل المخصصة حلول "الأمان" أو "SecurityCenterFree" الممكنة، فأنت بحاجة إلى تطبيق حل. للتطبيق، حدد مساحة العمل المخصصة وقم بتطبيق مستوى تسعير عبر صفحة خطط Defender لإعدادات> البيئة.

يتيح Defender for Cloud الحل الصحيح على مساحة العمل استنادا إلى الخيارات المحددة.

يمكنك إزالة عامل Log Analytics يدويا ولكن لا يوصى به. تؤدي إزالة ملحقات OMS إلى تقييد توصيات وتنبيهات Defender for Cloud.

لإزالة العامل يدويًا:

1. في المدخل، افتح Log Analytics.

2. في صفحة Log Analytics، حدد مساحة عمل:

3. حدد الأجهزة الظاهرية التي لا تريد مراقبتها وحدد قطع الاتصال.

   

نعم. يستخدم Microsoft Defender for Cloud Azure Monitor لجمع البيانات من أجهزة Azure الظاهرية والخوادم، باستخدام عامل Log Analytics. لجمع البيانات، يجب على كل الأجهزة الظاهرية والخوادم الاتصال بالإنترنت باستخدام HTTPS. يمكن أن يكون الاتصال مباشرًا أو باستخدام وكيل أو من خلال بوابة OMS.

يستهلك العامل كمية اسمية من موارد النظام وينبغي أن يكون له تأثير ضئيل على الأداء. لمزيد من المعلومات حول تأثير الأداء والعامل والملحق، راجع دليل التخطيط والعمليات.

يجمع الفحص بدون عامل بيانات مشابهة للبيانات التي يجمعها العامل لإجراء نفس التحليل. لا يتم جمع البيانات الأولية أو واجهات برمجة التطبيقات أو بيانات الأعمال الحساسة، ويتم إرسال نتائج بيانات التعريف فقط إلى Defender for Cloud.

يتم تضمين الفحص بدون عامل في خطط Defender Cloud Security Posture Management (CSPM) وDefender for Servers P2. لا توجد تكاليف أخرى تتحملها Defender for Cloud عند تمكينها.

يتم إنشاء لقطات القرص باستخدام مفتاح العلامة CreatedBy وقيمة العلامة Microsoft Defender for Cloud . تتعقب العلامة CreatedBy من أنشأ المورد.

تحتاج إلى تنشيط العلامات في وحدة تحكم إدارة الفوترة والتكلفة. قد يستغرق تنشيط العلامات ما يصل إلى 24 ساعة.

بمجرد تنشيط العلامات، يقوم AWS بإنشاء تقرير تخصيص التكلفة كقيمة مفصولة بفواصل (. ملف CSV) مع استخدامك وتكلفتك مجمعة حسب علاماتك النشطة.

هناك استيعاب بيانات خالية 500 ميغابايت لكل مساحة عمل. يتم حسابها لكل عقدة، ولكل مساحة عمل تم الإبلاغ عنها، في اليوم الواحد، ومتاحة لكل مساحة عمل لديها حل "أمان" أو "مكافحة البرامج الضارة" مثبت. يتم تحصيل رسوم منك مقابل أي بيانات تم تناولها عبر حد 500 ميغابايت.

مساحات العمل التي تم إنشاؤها بواسطة Defender for Cloud، في أثناء تكوينها لسجلات Azure Monitor لكل فواتير العقد، لا تتحمل رسوم سجلات Azure Monitor. تستند فوترة Defender for Cloud دائمًا إلى نهج أمان Defender for Cloud والحلول المثبتة على مساحة عمل:

• إيقاف تشغيل الأمان المحسن - يتيح Defender for Cloud حل "SecurityCenterFree" على مساحة العمل الافتراضية. لا توجد رسوم عندما لا تكون هناك خطط Defender ممكنة.

• تم تمكين جميع خطط Microsoft Defender for Cloud - يتيح Defender for Cloud حل "الأمان" على مساحة العمل الافتراضية.

للحصول على تفاصيل التسعير بعملتك المحلية أو منطقتك، راجع pricing page.

يعتمد موقع مساحة العمل الافتراضية على منطقة Azure:

• بالنسبة للأجهزة الظاهرية في الولايات المتحدة والبرازيل، فإن موقع مساحة العمل هو الولايات المتحدة
• بالنسبة للأجهزة الظاهرية في كندا، يكون موقع مساحة العمل هو كندا
• بالنسبة للأجهزة الظاهرية في أوروبا، فإن موقع مساحة العمل هو أوروبا
• بالنسبة للأجهزة الظاهرية في المملكة المتحدة، فإن موقع مساحة العمل هو المملكة المتحدة
• بالنسبة للأجهزة الظاهرية في شرق آسيا وجنوب شرق آسيا، فإن موقع مساحة العمل هو آسيا
• بالنسبة للأجهزة الظاهرية في كوريا، يكون موقع مساحة العمل هو كوريا
• بالنسبة للأجهزة الظاهرية في الهند، فإن موقع مساحة العمل هو الهند
• بالنسبة للأجهزة الظاهرية في اليابان، يكون موقع مساحة العمل هو اليابان
• بالنسبة للأجهزة الظاهرية في الصين، فإن موقع مساحة العمل هو الصين
• بالنسبة للأجهزة الظاهرية في أستراليا، فإن موقع مساحة العمل هو أستراليا

لا ينصح بحذف مساحة العمل الافتراضية. يستخدم Defender for Cloud مساحات العمل الافتراضية لتخزين بيانات الأمان من الأجهزة الظاهرية. إذا قمت بحذف مساحة عمل، فسيصبح Defender for Cloud غير قادر على جمع هذه البيانات وستكون بعض توصيات الأمان والتنبيهات غير متوفرة.

للاسترداد، قم بإزالة عامل Log Analytics على الأجهزة الظاهرية المتصلة بمساحة العمل المحذوفة. يقوم Defender for Cloud بإعادة تثبيت العامل وإنشاء مساحات عمل افتراضية جديدة.

يمكنك تحديد مساحة عمل Log Analytics موجودة لتخزين البيانات التي تم جمعها بواسطة Defender for Cloud. لاستخدام مساحة عمل Log Analytics الحالية:

• يجب أن تكون مساحة العمل مقترنة باشتراك Azure المحدد.
• كحد أدنى، يجب أن يكون لديك أذونات قراءة للوصول إلى مساحة العمل.

لتحديد مساحة عمل تحليلات سجل موجودة:

1. من قائمة Defender for Cloud، افتح إعدادات البيئة.

2. حدد الاشتراك ذا الصلة.

3. في عمود مراقبة تغطية خطة Defender for Server، حدد الإعدادات.

4. بالنسبة لعامل Log Analytics، حدد تحرير التكوين.

   

5. حدد مساحة عمل مخصصة وحدد مساحة العمل الموجودة.

   

   تلميح

   تتضمن القائمة فقط مساحات العمل التي لديك حق الوصول إليها والمتوفرة في اشتراك Azure الخاص بك.

6. حدد تطبيق.

7. حدد متابعة.

8. حدد حفظ وتأكد من رغبتك في إعادة تكوين الأجهزة الظاهرية المراقبة.

   هام

   لا يكون هذا الاختيار ذا صلة إلا إذا كنت تقوم بتغيير التكوين من مساحة العمل الافتراضية إلى مساحة عمل مخصصة. إذا كنت تقوم بتغيير الإعداد من مساحة عمل مخصصة إلى أخرى أو من مساحة عمل مخصصة إلى مساحة العمل الافتراضية، فلن يتم تطبيق التغيير على الأجهزة الموجودة.

   • حدد لا إذا كنت تريد تطبيق إعدادات مساحة العمل الجديدة على الأجهزة الظاهرية الجديدة فقط. تنطبق إعدادات مساحة العمل الجديدة فقط على عمليات تثبيت العامل الجديدة؛ الأجهزة الظاهرية المكتشفة حديثا التي لم يتم تثبيت عامل Log Analytics لها.
   • حدد لا إذا كنت تريد تطبيق إعدادات مساحة العمل الجديدة على الأجهزة الظاهرية الجديدة فقط. بالإضافة إلى ذلك، تتم إعادة توصيل كل جهاز ظاهري متصل بمساحة عمل تم إنشاؤها بواسطة Defender for Cloud بمساحة العمل الهدف الجديدة.

   إشعار

   إذا حددت نعم، فلا تحذف أي مساحة عمل أنشأها Defender for Cloud حتى يُعاد توصيل جميع الأجهزة الظاهرية بمساحة العمل المستهدفة الجديدة. تفشل هذه العملية إذا تم حذف مساحة العمل في وقت مبكر جدًا.

إذا كان الجهاز الظاهري يحتوي بالفعل على عامل Log Analytics مثبتا كملحق Azure، فلا يتجاوز Defender for Cloud اتصال مساحة العمل الحالي. بدلاً من ذلك، يستخدم Defender for Cloud مساحة العمل الموجودة. يكون الجهاز الظاهري محميا إذا تم تثبيت الحل "Security" أو "SecurityCenterFree" على مساحة العمل التي يقوم بالإبلاغ عنها.

يتم تثبيت حل Defender for Cloud على مساحة العمل المحددة في شاشة جمع البيانات إذا لم يكن موجودًا بالفعل، ويتم تطبيق الحل فقط على الأجهزة الظاهرية ذات الصلة. عند إضافة حل، يتم نشره تلقائيًا بشكل افتراضي لجميع وكلاء Windows وLinux المتصلين بمساحة عمل Log Analytics. يسمح لك Solution Targeting بتطبيق نطاق على الحلول الخاصة بك.

عندما يحدد Defender for Cloud أن الجهاز الظاهري متصل بالفعل بمساحة عمل قمت بإنشائها، يقوم Defender for Cloud بتمكين الحلول على مساحة العمل هذه وفقًا لتكوين التسعير الخاص بك. يتم تطبيق الحلول فقط على الموارد ذات الصلة، عبر استهداف الحل، لذلك تظل الفوترة كما هي.

• لم يتم تمكين خطط Defender - يقوم Defender for Cloud بتثبيت حل "SecurityCenterFree" على مساحة العمل ولا تتم محاسبتك عليه.

• تمكين جميع خطط Microsoft Defender – يقوم Defender for Cloud بتثبيت حل "الأمان" على مساحة العمل.

  

إذا كان الجهاز الظاهري يحتوي بالفعل على عامل Log Analytics مثبتا كملحق Azure، يستخدم Defender for Cloud مساحة العمل المتصلة الموجودة. يتم تثبيت حل Defender for Cloud على مساحة العمل إذا لم يكن موجودًا بالفعل، ويتم تطبيق الحل فقط على الأجهزة الظاهرية ذات الصلة عبر استهداف الحل.

عندما يقوم Defender for Cloud بتثبيت عامل Log Analytics على الأجهزة الظاهرية، فإنه يستخدم مساحات العمل الافتراضية التي أنشأها Defender for Cloud إذا لم يتم الإشارة إلى مساحة عمل موجودة.

يتم استخدام حل الأمان والتدقيق لتمكين Microsoft Defender for Servers. إذا كان حل الأمان والتدقيق مثبتا بالفعل على مساحة عمل، فإن Defender for Cloud يستخدم الحل الحالي. لا يوجد تغيير في الفوترة.

الخطوات التالية

تعرف على كيفية تجميع Defender for Cloud للبيانات