ما هو Microsoft Defender for Cloud؟
يساعدك Microsoft Defender for Cloud على منع التهديدات واكتشافها والاستجابة لها من خلال زيادة الرؤية والتحكم في أمان مواردك. يوفر مراقبة أمان متكاملة وإدارة نهج عبر الاشتراكات، ويساعد في اكتشاف التهديدات التي قد تمر دون أن يلاحظها أحد، ويعمل مع نظام بيئي واسع من الحلول الأمنية.
يستخدم Defender for Cloud مكونات المراقبة لجمع البيانات وتخزينها. للحصول على تفاصيل متعمقة، راجع جمع البيانات في Microsoft Defender for Cloud.
كيف أحصل على Microsoft Defender for Cloud؟
يتم تمكين Microsoft Defender for Cloud مع اشتراك Microsoft Azure الخاص بك والوصول إليه من مدخل Microsoft Azure. للوصول إليه، سجل الدخول إلى المدخل، وحدد Browse، وقم بالتمرير إلى Defender for Cloud.
هل هناك إصدار تجريبي من Defender for Cloud؟
Defender for Cloud مجاني لأول 30 يوما. يتم فرض رسوم تلقائية على أي استخدام يتجاوز 30 يوما وفقا لنظام التسعير. اعرف المزيد. لاحظ أن مسح البرامج الضارة في Defender for Storage غير مضمن مجانا في أول 30 يوما من الإصدار التجريبي وسيتم تحصيل الرسوم من اليوم الأول.
ما هي موارد Azure التي يراقبها Microsoft Defender for Cloud؟
يراقب Microsoft Defender for Cloud موارد Azure التالية:
- الأجهزة الظاهرية (VMs) (بما في ذلك الخدمات السحابية)
- مجموعات توسيع الجهاز الظاهري
- العديد من خدمات Azure PaaS المدرجة في نظرة عامة على المنتج
يحمي Defender for Cloud أيضا الموارد المحلية والموارد متعددة السحابات، بما في ذلك Amazon AWS وGoogle Cloud.
كيف يمكنني رؤية حالة الأمان الحالية لمواردي في Azure ومتعددة الأوساط السحابية والمحلية؟
تعرض صفحة Defender for Cloud Overview الوضع الأمني العام بيئة عملك مقسمة حسب الحوسبة والشبكات والتخزين والبيانات والتطبيقات. يحتوي كل نوع مورد على مؤشر يوضح الثغرات الأمنية المحددة. يؤدي تحديد كل تجانب إلى عرض قائمة بمشكلات الأمان التي حددها Defender for Cloud، بالإضافة إلى مخزون الموارد في اشتراكك.
ما هي المبادرة الأمنية؟
تحدد مبادرة الأمان مجموعة الضوابط (السياسات) الموصى بها للموارد ضمن الاشتراك المحدد. في Microsoft Defender for Cloud، يمكنك تعيين مبادرات لاشتراكات Azure وحسابات AWS ومشاريع GCP وفقا لمتطلبات أمان شركتك ونوع التطبيقات أو حساسية البيانات في كل اشتراك.
نهج الأمان التي تقوم بتمكينها في Microsoft Defender for Cloud هي التي تشغل توصيات الأمان والمراقبة. تعرف على المزيد في ما هي السياسات والمبادرات والتوصيات الأمنية؟.
من يمكنه تعديل نهج الأمان؟
لتعديل نهج أمان، يجب أن تكون Security Administrator أو Owner لهذا الاشتراك.
لمعرفة كيفية تكوين نهج أمان، راجع تعيين نهج الأمان في Microsoft Defender for Cloud.
ما هي التوصية الأمنية؟
يحلل Microsoft Defender for Cloud حالة الأمان لموارد Azure ومتعددة السحابات والموارد المحلية. عند تحديد الثغرات الأمنية المحتملة، يتم إنشاء توصيات. ترشدك التوصيات خلال عملية تكوين عنصر التحكم المطلوب. ومن الأمثلة على ذلك:
- تكوين إعدادات تشغيل برامج مكافحة البرامج الضارة للمساعدة في تحديد البرامج الضارة وإزالتها
- مجموعات قواعد أمان الشبكة للتحكم في نسبة استخدام الشبكة إلى الأجهزة الظاهرية
- تكوين إعدادات تشغيل جدار حماية لتطبيق ويب للمساعدة في الدفاع ضد الهجمات التي تستهدف تطبيقات الويب الخاصة بك
- توزيع تحديثات النظام المفقودة
- معالجة تكوينات نظام التشغيل التي لا تتطابق مع الخطوط الأساسية الموصى بها
يتم عرض التوصيات التي تم تمكينها في نهج الأمان فقط هنا.
ما الذي يطلق تنبيه أمني؟
يقوم Microsoft Defender for Cloud تلقائيا بجمع بيانات السجل وتحليلها ودمجها من موارد Azure ومتعددة السحابات والموارد المحلية والشبكة وحلول الشركاء مثل الحماية من البرامج الضارة وجدران الحماية. عند اكتشاف التهديدات، يتم إنشاء تنبيه أمان. تتضمن الأمثلة الكشف عن:
- الأجهزة الظاهرية المعرضة للخطر والتي تتصل بعناوين IP الضارة المعروفة
- تم اكتشاف برامج ضارة متقدمة باستخدام الإبلاغ عن أخطاء Windows
- هجمات القوة الغاشمة على الأجهزة الظاهرية
- تنبيهات الأمان من حلول أمان الشركاء المتكاملة مثل مكافحة البرامج الضارة أو جدران حماية تطبيقات الويب
ما الفرق بين التهديدات التي تم الكشف عنها والتنبيه إليها بواسطة مركز استجابة أمان Microsoft مقابل Microsoft Defender for Cloud؟
يقوم مركز استجابة خبراء الأمان من Microsoft (MSRC) بتحديد مراقبة أمان شبكة Azure والبنية الأساسية ويتلقى تحليل ذكي للمخاطر وإساءة المعاملة من أطراف خارجية. عندما يدرك MSRC أن بيانات العميل تم الوصول إليها من قبل طرف غير قانوني أو غير مصرح به أو أن استخدام العميل ل Azure لا يتوافق مع شروط الاستخدام المقبول، يقوم مدير حوادث الأمان بإعلام العميل. يحدث الإعلام عادة عن طريق إرسال بريد إلكتروني إلى جهات اتصال الأمان المحددة في Microsoft Defender for Cloud أو مالك اشتراك Azure إذا لم يتم تحديد جهة اتصال أمان.
Defender for Cloud هي خدمة Azure تراقب باستمرار بيئة Azure ومتعددة السحابات والبيئة المحلية للعميل وتطبق التحليلات للكشف تلقائيا عن مجموعة واسعة من الأنشطة الضارة المحتملة. تظهر هذه الاكتشافات كتنبيهات أمان في لوحة معلومات حماية حمل العمل.
كيف يمكنني تعقب من قام في المؤسسة بتمكين خطة Microsoft Defender في Defender for Cloud؟
قد يكون لدى اشتراكات Azure العديد من المسؤولين الذين لديهم أذونات لتغيير إعدادات التسعير. لمعرفة المستخدم الذي قام بتغيير، استخدمAzure Activity Log.
إذا لم يتم سرد معلومات المستخدم في الحدث الذي تم البدء به حسب العمود، فاستكشف JSON للحدث للحصول على التفاصيل ذات الصلة.
ماذا يحدث عندما توجد توصية واحدة في مبادرات نهج متعددة؟
في بعض الأحيان، تظهر توصية أمان في أكثر من مبادرة نهج واحدة. إذا كان لديك مثيلات متعددة من نفس التوصية المعينة لنفس الاشتراك، وقمت بإنشاء استثناء للتوصية، فإنه يؤثر على جميع المبادرات التي لديك إذن لتحريرها.
إذا حاولت إنشاء إعفاء لهذه التوصية، فستظهر لك إحدى الرسالتين التاليتين:
إذا كانت لديك الأذونات اللازمة لتحرير كلتا المبادرتين، فسيظهر لك ما يلي:
هذه التوصية مضمنة في العديد من مبادرات النهج: [أسماء المبادرات مفصولةً بفاصلة]. ستُنشأ إعفاءات عليها جميعًا.
إذا لم تكن لديك أذونات كافية في كلتا المبادرتين، فستظهر لك هذه الرسالة بدلاً من ذلك:
لديك أذونات محدودة لتطبيق الإعفاء على جميع مبادرات النهج، ستُنشأ الإعفاءات على المبادرات التي تتمتع بأذونات كافية فحسب.
هل توجد أي توصيات لا تدعم الإعفاء؟
لا تدعم هذه التوصيات المتوفرة بشكل عام الإعفاء:
- يجب تمكين جميع أنواع الحماية المتقدمة من المخاطر في إعدادات أمان البيانات المتقدمة لمثيل SQL المُدار
- يجب تمكين جميع أنواع الحماية المتقدمة من المخاطر في إعدادات أمان البيانات المتقدمة لخادم SQL
- يجب فرض حدود CPU والذاكرة في الحاوية
- يجب نشر صور الحاوية من السجلات الموثوق بها فحسب
- يجب تجنب الحاوية التي تتمتع بزيادة الامتيازات
- يجب تجنب الحاويات التي تشارك مساحات أسماء المضيف الحساسة
- يجب أن تنصت الحاويات إلى المنافذ المسموح بها فحسب
- يجب رفض نهج عامل تصفية IP الافتراضي
- يجب تمكين مراقبة تكامل الملفات على الأجهزة
- يجب فرض نظام ملفات الجذر غير القابل للتغيير (للقراءة فقط) للحاويات
- أجهزة إنترنت الأشياء - فتح المنافذ على الجهاز
- أجهزة إنترنت الأشياء - تم العثور على نهج جدار الحماية المسموح بها في إحدى السلاسل
- أجهزة إنترنت الأشياء - تم العثور على قاعدة جدار الحماية المسموح بها في سلسلة الإدخال
- أجهزة إنترنت الأشياء - تم العثورعلى قاعدة جدار الحماية المسموح بها في سلسلة الإخراج
- نطاق IP كبير لقاعدة عامل تصفية IP
- يجب فرض أقل امتيازات على قدرات Linux للحاويات
- يجب تقييد تجاوز أو تعطيل ملف تعريف AppArmor للحاويات
- يجب تجنب الحاويات عالية الامتيازات
- يجب تجنب تشغيل الحاويات كمستخدم جذر
- يجب أن تستمع الخدمات على المنافذ المسموح بها فحسب
- يجب أن تحتوي خوادم SQL على مسؤول Microsoft Entra تم توفيره
- يجب تقييد استخدام شبكات المضيفين ومنافذهم
- يجب تقييد استخدام تحميلات وحدة تخزين pod HostPath إلى قائمة معروفة لتقييد الوصول إلى العقدة من الحاويات المخترقة
نحن نستخدم بالفعل نهج الوصول المشروط (CA) لفرض MFA. لماذا ما زلنا نحصل على توصيات Defender for Cloud؟
للتحقيق في سبب استمرار إنشاء التوصيات، تحقق من خيارات التكوين التالية في نهج المصادقة متعددة العوامل CA:
- لقد قمت بإدراج الحسابات في قسم المستخدمين في نهج المصادقة متعددة العوامل (أو إحدى المجموعات في قسم المجموعات )
- يتم تضمين معرف تطبيق Azure Management (797f4846-ba00-4fd7-ba43-dac1f8f63013)، أو جميع التطبيقات، في قسم التطبيقات في نهج المصادقة متعددة العوامل (MFA)
- لا يتم استبعاد معرف تطبيق Azure Management في قسم التطبيقات في نهج المصادقة متعددة العوامل (MFA)
- يتم استخدام شرط OR مع المصادقة متعددة العوامل فقط، أو يتم استخدام شرط AND مع المصادقة متعددة العوامل
- نهج الوصول المشروط الذي يفرض المصادقة متعددة العوامل من خلال نقاط قوة المصادقة غير مدعوم حاليا في تقييمنا.
نحن نستخدم أداة مصادقة متعددة العوامل (MFA) تابعة لجهة خارجية لفرض المصادقة متعددة العوامل. لماذا ما زلنا نحصل على توصيات Defender for Cloud؟
لا تدعم توصيات المصادقة متعددة العوامل ل Defender for Cloud أدوات المصادقة متعددة العوامل (MFA) التابعة لجهات خارجية (على سبيل المثال، DUO).
إذا كانت التوصيات غير ذات صلة بمؤسستك، ففكر في وضع علامة عليها على أنها "مخففة" كما هو موضح في إعفاء الموارد والتوصيات من نقاطك الآمنة. يمكنك أيضا تعطيل توصية.
لماذا يعرض Defender for Cloud حسابات المستخدمين دون أذونات على الاشتراك على أنها "تتطلب مصادقة متعددة العوامل"؟
تشير توصيات المصادقة متعددة العوامل في Defender for Cloud إلى أدوار Azure RBAC ودور مسؤولي الاشتراك الكلاسيكي في Azure. تحقق من عدم وجود مثل هذه الأدوار لأي من الحسابات.
نحن نفرض المصادقة متعددة العوامل (MFA) باستخدام إدارة الهويات المتميزة (PIM). لماذا يتم عرض حسابات PIM على أنها غير متوافقة؟
لا تدعم توصيات المصادقة متعددة العوامل في Defender for Cloud حاليا حسابات PIM. يمكنك إضافة هذه الحسابات إلى نهج CA في قسم المستخدمين/المجموعة.
هل يمكنني إعفاء بعض الحسابات أو استبعادها؟
تتوفر إمكانية إعفاء بعض الحسابات التي لا تستخدم المصادقة متعددة العوامل على التوصيات الجديدة في المعاينة:
- يجب تمكين مصادقة متعددة العوامل (MFA) للحسابات التي لها أذونات المالك على موارد Azure
- يجب تمكين مصادقة متعددة العوامل (MFA) للحسابات التي لها أذونات الكتابة على موارد Azure
- يجب تمكين مصادقة متعددة العوامل (MFA) للحسابات التي لها أذونات القراءة على موارد Azure
لإعفاء الحساب (الحسابات)، اتبع الخطوات التالية:
- حدد توصية المصادقة متعددة العوامل المقترنة بحساب غير صحي.
- في علامة التبويب حسابات، حدد حسابا لإعفائه.
- حدد زر النقاط الثلاث، ثم حدد استثناء الحساب.
- حدد نطاق وسبب استثناء.
إذا كنت ترغب في معرفة الحسابات المعفاة، فانتقل إلى الحسابات المعفاة لكل توصية.
تلميح
عندما تعفي حسابا، لن يظهر على أنه غير صحي ولن يتسبب في ظهور اشتراك غير سليم.
هل هناك أي قيود على هوية Defender for Cloud وحماية الوصول؟
هناك بعض القيود على هوية Defender for Cloud وحماية الوصول:
- لا تتوفر توصيات الهوية للاشتراكات التي تتضمن أكثر من 6000 حساب. في هذه الحالات، يتم سرد هذه الأنواع من الاشتراكات ضمن علامة التبويب غير قابلة للتطبيق.
- لا تتوفر توصيات الهوية لوكلاء مسؤولي شريك موفر حلول السحابة (CSP).
- لا تحدد توصيات الهوية الحسابات التي تتم إدارتها باستخدام نظام إدارة الهويات المتميزة (PIM). إذا كنت تستخدم أداة PIM، فقد ترى نتائج غير دقيقة في عنصر تحكم إدارة الوصول والأذونات.
- لا تدعم توصيات الهوية نهج الوصول المشروط ل Microsoft Entra مع أدوار الدليل المضمنة بدلا من المستخدمين والمجموعات.
ما أنظمة التشغيل المدعومة لمثيلات EC2 الخاصة بي؟
للحصول على قائمة ب AMIs مع عامل SSM المثبت مسبقا، راجع هذه الصفحة في مستندات AWS.
بالنسبة إلى أنظمة التشغيل الأخرى، يجب تثبيت عامل SSM يدويًا عبر اتباع الإرشادات التالية:
بالنسبة إلى خطة CSPM، ما أذونات IAM المطلوبة لاكتشاف موارد AWS؟
فيما يلي أذونات IAM اللازمة لاكتشاف موارد AWS:
| DataCollector | AWS Permissions |
|---|---|
| بوابة API | apigateway:GET |
| Application Auto Scaling | application-autoscaling:Describe* |
| Auto scaling | autoscaling-plans:Describe* autoscaling:Describe* |
| Certificate manager | acm-pca:Describe* acm-pca:List* acm:Describe* acm:List* |
| CloudFormation | cloudformation:Describe* cloudformation:List* |
| CloudFront | cloudfront:DescribeFunction cloudfront:GetDistribution cloudfront:GetDistributionConfig cloudfront:List* |
| CloudTrail | cloudtrail:Describe* cloudtrail:GetEventSelectors cloudtrail:List* cloudtrail:LookupEvents |
| الساعة السحابية | cloudwatch:Describe* cloudwatch:List* |
| CloudWatch logs | logs:DescribeLogGroups logs:DescribeMetricFilters |
| رمز البناء | codebuild:DescribeCodeCoverages codebuild:DescribeTestCases codebuild:List* |
| Config Service | config:Describe* config:List* |
| DMS - خدمة ترحيل قاعدة البيانات | dms:Describe* dms:List* |
| DAX | dax:Describe* |
| DynamoDB | dynamodb:Describe* dynamodb:List* |
| Ec2 | ec2:Describe* ec2:GetEbsEncryptionByDefault |
| ECR | ecr:Describe* ecr:List* |
| ECS | ecs:Describe* ecs:List* |
| EFS | elasticfilesystem:Describe* |
| EKS | eks:Describe* eks:List* |
| Elastic Beanstalk | elasticbeanstalk:Describe* elasticbeanstalk:List* |
| ELB - موازنة التحميل المرنة (v1/2) | elasticloadbalancing:Describe* |
| Elastic search | es:Describe* es:List* |
| EMR - تقليل الخريطة المرنة | elasticmapreduce:Describe* elasticmapreduce:GetBlockPublicAccessConfiguration elasticmapreduce:List* elasticmapreduce:View* |
| GuardDuty | guardduty:DescribeOrganizationConfiguration guardduty:DescribePublishingDestination guardduty:List* |
| IAM | iam:Generate* iam:Get* iam:List* iam:Simulate* |
| KMS | kms:Describe* kms:List* |
| Lambda | lambda:GetPolicy lambda:List* |
| جدار حماية الشبكة | network-firewall:DescribeFirewall network-firewall:DescribeFirewallPolicy network-firewall:DescribeLoggingConfiguration network-firewall:DescribeResourcePolicy network-firewall:DescribeRuleGroup network-firewall:DescribeRuleGroupMetadata network-firewall:ListFirewallPolicies network-firewall:ListFirewalls network-firewall:ListRuleGroups network-firewall:ListTagsForResource |
| RDS | rds:Describe* rds:List* |
| RedShift | redshift:Describe* |
| S3 and S3Control | s3:DescribeJob s3:GetEncryptionConfiguration s3:GetBucketPublicAccessBlock s3:GetBucketTagging s3:GetBucketLogging s3:GetBucketAcl s3:GetBucketLocation s3:GetBucketPolicy s3:GetReplicationConfiguration s3:GetAccountPublicAccessBlock s3:GetObjectAcl s3:GetObjectTagging s3:List* |
| SageMaker | sagemaker:Describe* sagemaker:GetSearchSuggestions sagemaker:List* sagemaker:Search |
| Secret manager | secretsmanager:Describe* secretsmanager:List* |
| SNS لخدمة الإعلامات البسيطة | sns:Check* sns:List* |
| SSM | ssm:Describe* ssm:List* |
| SQS | sqs:List* sqs:Receive* |
| STS | sts:GetCallerIdentity |
| جدار حماية تطبيقات الويب | waf-regional:Get* waf-regional:List* waf:List* wafv2:CheckCapacity wafv2:Describe* wafv2:List* |
هل هناك واجهة برمجة تطبيقات لتوصيل موارد GCP الخاصة بي بـ Defender for Cloud؟
نعم. لإنشاء موصلات سحابية لـ Defender for Cloud أو تحريرها أو حذفها باستخدام واجهة برمجة تطبيقات REST، يرجى مراجعة تفاصيل Connectors API.
ما هي مناطق GCP التي يدعمها Defender for Cloud؟
يدعم Defender for Cloud جميع المناطق المتاحة ويفحصها على سحابة GCP العامة.
هل تدعم أتمتة سير العمل أي سيناريوهات لاستمرارية الأعمال أو الإصلاح بعد كارثة (BCDR)؟
عند إعداد بيئتك لسيناريوهات BCDR، حيث يواجه المورد الهدف انقطاعا أو كارثة أخرى، تقع على عاتق المؤسسة مسؤولية منع فقدان البيانات عن طريق إنشاء نسخ احتياطية وفقا للإرشادات الواردة من مراكز أحداث Azure ومساحة عمل Log Analytics وتطبيقات المنطق.
لكل أتمتة نشطة، نوصيك بإنشاء أتمتة متطابقة (معطلة) وتخزينها في موقع مختلف. عندما يكون هناك انقطاع، يمكنك تمكين عمليات النسخ الاحتياطي هذه والحفاظ على العمليات العادية.
تعرف على المزيد حول استمرارية الأعمال والإصلاح بعد كارثة لتطبيقات Azure Logic.
ما هي التكاليف التي ينطوي عليها تصدير البيانات؟
لا توجد تكلفة لتمكين التصدير المستمر. قد يتم تكبد تكاليف لاستيعاب البيانات والاحتفاظ بها في مساحة عمل Log Analytics، اعتمادا على التكوين الخاص بك هناك.
يتم توفير العديد من التنبيهات فقط عند تمكين خطط Defender لمواردك. هناك طريقة جيدة لمعاينة التنبيهات التي تحصل عليها في بياناتك المصدرة وهي رؤية التنبيهات المعروضة في صفحات Defender for Cloud في مدخل Microsoft Azure.
تعرف على المزيد حول تسعير مساحة عمل Log Analytics.
تعرف على المزيد حول أسعار مراكز الأحداث من Azure.
للحصول على معلومات عامة حول تسعير Defender for Cloud، راجع صفحة التسعير.
هل يتضمن التصدير المستمر بيانات حول الحالة الحالية لجميع الموارد؟
لا. تم إنشاء التصدير المستمر لتدفق الأحداث:
- لا يتم تصدير التنبيهات المستلمة قبل تمكين التصدير.
- يتم إرسال التوصيات كلما تغيرت حالة توافق المورد. على سبيل المثال، عندما يتحول مورد من سليم إلى غير صحي. لذلك، كما هو الحال مع التنبيهات، لن يتم تصدير توصيات الموارد التي لم تتغير الحالة منذ تمكين التصدير.
- يتم إرسال درجة الأمان لكل عنصر تحكم أمان أو اشتراك عند تغيير درجة عنصر تحكم الأمان بمقدار 0.01 أو أكثر.
- يتم إرسال حالة التوافق التنظيمي عند تغيير حالة توافق المورد.
لماذا يتم إرسال التوصيات على فترات زمنية مختلفة؟
تحتوي التوصيات المختلفة على فواصل زمنية مختلفة لتقييم التوافق، والتي يمكن أن تتراوح من كل بضع دقائق إلى كل بضعة أيام. لذلك، يختلف مقدار الوقت الذي يستغرقه ظهور التوصيات في عمليات التصدير الخاصة بك.
كيف يمكنني الحصول على استعلام مثال للتوصية؟
للحصول على مثال استعلام لتوصية، افتح التوصية في Defender for Cloud، وحدد Open query، ثم حدد Query returning security findings.
هل يدعم التصدير المستمر أي سيناريوهات لاستمرارية الأعمال أو التعافي من الكوارث (BCDR)؟
يمكن أن يكون التصدير المستمر مفيدا في التحضير لسيناريوهات BCDR حيث يواجه المورد الهدف انقطاعا أو كارثة أخرى. ومع ذلك، تقع على عاتق المؤسسة مسؤولية منع فقدان البيانات عن طريق إنشاء نسخ احتياطية وفقا لإرشادات مركز أحداث Azure ومساحة عمل Log Analytics وتطبيق منطق.
تعرف على المزيد في Azure Event Hubs - التعافي من الكوارث الجغرافية.
هل يمكنني تحديث خطط متعددة برمجيا على اشتراك واحد في وقت واحد؟
لا نوصي بتحديث خطط متعددة برمجيا على اشتراك واحد في وقت واحد (عبر REST API وقوالب ARM والبرامج النصية وما إلى ذلك). عند استخدام واجهة برمجة تطبيقات Microsoft.Security/pricings، أو أي حل برمجي آخر، يجب إدراج تأخير من 10 إلى 15 ثانية بين كل طلب.
عند تمكين الوصول الافتراضي، في أي الحالات أحتاج إلى إعادة تشغيل قالب Cloud Formation أو البرنامج النصي Cloud Shell أو قالب Terraform؟
تتطلب التعديلات على خطط Defender for Cloud أو خياراتها، بما في ذلك الميزات داخل هذه الخطط، تشغيل قالب النشر. ينطبق هذا بغض النظر عن نوع الإذن المحدد أثناء إنشاء موصل الأمان. إذا تم تغيير المناطق، كما هو الحال في لقطة الشاشة هذه، فلن تحتاج إلى إعادة تشغيل قالب Cloud Formation أو البرنامج النصي Cloud Shell.
عند تكوين أنواع الأذونات، يدعم الوصول الأقل امتيازا الميزات المتوفرة في وقت تشغيل القالب أو البرنامج النصي. يمكن دعم أنواع الموارد الجديدة فقط عن طريق إعادة تشغيل القالب أو البرنامج النصي.
إذا قمت بتغيير المنطقة أو الفاصل الزمني للمسح الضوئي لموصل AWS الخاص بي، فهل أحتاج إلى إعادة تشغيل قالب CloudFormation أو البرنامج النصي Cloud Shell؟
لا، إذا تم تغيير المنطقة أو الفاصل الزمني للمسح الضوئي، فلن تكون هناك حاجة لإعادة تشغيل قالب CloudFormation أو البرنامج النصي Cloud Shell. سيتم تطبيق التغييرات تلقائيا.
كيف يعمل إلحاق حساب إدارة أو مؤسسة AWS ب Microsoft Defender for Cloud؟
يؤدي إلحاق مؤسسة أو حساب إدارة إلى Microsoft Defender for Cloud إلى بدء عملية نشر StackSet. يتضمن StackSet الأدوار والأذونات الضرورية. تنشر StackSet أيضا الأذونات المطلوبة عبر جميع الحسابات داخل المؤسسة.
تسمح الأذونات المضمنة ل Microsoft Defender for Cloud بتقديم ميزات الأمان المحددة من خلال الموصل الذي تم إنشاؤه في Defender for Cloud. تسمح الأذونات أيضا ل Defender for Cloud بمراقبة جميع الحسابات التي قد تتم إضافتها باستخدام خدمة التوفير التلقائي باستمرار.
Defender for Cloud قادر على تحديد إنشاء حسابات إدارة جديدة ويمكنه الاستفادة من الأذونات الممنوحة لتوفير موصل أمان عضو مكافئ تلقائيا لكل حساب عضو.
تتوفر هذه الميزة للإلحاق التنظيمي فقط وتسمح ل Defender for Cloud بإنشاء موصلات للحسابات المضافة حديثا. تسمح الميزة أيضا ل Defender for Cloud بتحرير جميع موصلات الأعضاء عند تحرير حساب الإدارة، وحذف جميع حسابات الأعضاء عند حذف حساب الإدارة، وإزالة حساب عضو معين إذا تمت إزالة الحساب المقابل.
يجب نشر مكدس منفصل خصيصا لحساب الإدارة.