تأمين توزيع Azure Monitor

توفر هذه المقالة إرشادات لنشر Azure Monitor بشكل آمن وتشرح كيفية تأمين Microsoft ل Azure Monitor.

استيعاب السجل والتخزين

منح حق الوصول إلى البيانات في مساحة العمل بناء على الحاجة

1. قم بتعيين وضع التحكم في الوصول إلى مساحة العمل إلى استخدام أذونات الموارد أو مساحة العمل للسماح لمالكي الموارد باستخدام سياق الموارد للوصول إلى بياناتهم دون منحهم حق الوصول الصريح إلى مساحة العمل. وهذا يبسط تكوين مساحة العمل ويساعد على ضمان وصول المستخدمين فقط إلى البيانات التي يحتاجونها.
   الإرشادات: إدارة الوصول إلى مساحات عمل Log Analytics
2. قم بتعيين الدور المضمن المناسب لمنح أذونات مساحة العمل للمسؤولين على مستوى الاشتراك أو مجموعة الموارد أو مساحة العمل اعتمادا على نطاق مسؤولياتهم.
   الإرشادات: إدارة الوصول إلى مساحات عمل Log Analytics
3. تطبيق RBAC على مستوى الجدول للمستخدمين الذين يحتاجون إلى الوصول إلى مجموعة من الجداول عبر موارد متعددة. يمكن للمستخدمين الذين لديهم أذونات الجدول الوصول إلى جميع البيانات الموجودة في الجدول بغض النظر عن أذونات الموارد الخاصة بهم.
   الإرشادات: إدارة الوصول إلى مساحات عمل Log Analytics

بيانات السجلات الآمنة أثناء النقل

إذا كنت تستخدم عوامل أو موصلات أو واجهات برمجة تطبيقات السجلات للاستعلام عن البيانات أو إرسالها إلى مساحة العمل الخاصة بك، فاستخدم بروتوكول أمان طبقة النقل (TLS) 1.2 أو أعلى لضمان أمان بياناتك أثناء النقل. تحتوي الإصدارات القديمة من TLS وطبقة مآخذ التوصيل الآمنة (SSL) على ثغرات أمنية، وعلى الرغم من أنها قد لا تزال تعمل للسماح بالتوافق مع الإصدارات السابقة، فإنها غير مستحسنة، وقد انتقلت الصناعة بسرعة للتخلي عن دعم هذه البروتوكولات القديمة.

حدد مجلس معايير أمان PCIموعدا نهائيا في 30 يونيو 2018 لتعطيل الإصدارات القديمة من TLS/SSL والترقية إلى بروتوكولات أكثر أمانا. بمجرد أن يسقط Azure الدعم القديم، لن يتمكن العملاء الذين لا يتواصلون تماما عبر TLS 1.2 أو أعلى من إرسال البيانات أو الاستعلام عنها إلى سجلات Azure Monitor.

لا تقم بتكوين العوامل أو موصلات البيانات أو تطبيقات واجهة برمجة التطبيقات بشكل صريح لاستخدام TLS 1.2 فقط ما لم يكن ذلك ضروريا. يوصى بالسماح لهم بالكشف عن معايير الأمان المستقبلية والتفاوض بشأنها والاستفادة منها تلقائيا. وإلا، فقد تفوتك الأمان الإضافي للمعايير الأحدث وربما تواجه مشكلات إذا تم إهمال TLS 1.2 لصالح تلك المعايير الأحدث.

مهم

تماشيا مع إيقاف TLS القديم على نطاق Azure، سيتم حظر بروتوكول TLS 1.0/1.1 تماما لسجلات Azure Monitor وفقا للتواريخ في الجدول التالي. لتوفير التشفير الأفضل في فئته، تستخدم سجلات Azure Monitor بالفعل TLS 1.2/1.3 كآليات تشفير اختيارية.

تاريخ الإنفاذ	نقاط نهاية واجهة برمجة تطبيقات الاستعلام	إصدار بروتوكول TLS
1 يوليو 2025	نقاط نهاية واجهة برمجة تطبيقات استعلام السجلات	TLS 1.2 أو أعلى
1 مارس 2026	نقاط نهاية واجهة برمجة تطبيقات استيعاب السجلات	TLS 1.2 أو أعلى

الإجراء الموصى به

لتجنب اضطرابات الخدمة المحتملة، تأكد من أن مواردك التي تتفاعل مع نقاط نهاية Logs API لا تعتمد على بروتوكولات TLS 1.0 أو 1.1 وتدعم TLS 1.2 بالكامل.

عام

للحصول على أسئلة عامة حول مشكلة TLS القديمة أو كيفية اختبار مجموعات التشفير المدعومة، راجع حل مشكلات TLSودعم TLS ل Azure Resource Manager.

حدد الأجهزة الافتراضية التي تفتقر إلى TLS 1.2+

اذكر الأجهزة الافتراضية التي تحتوي على أنظمة تشغيل تفتقر إلى دعم TLS 1.2:

1. استخدم استعلام Azure Resource Graph لتدقيق إصدارات نظام التشغيل من آلاتك الافتراضية.
2. من مدخل Microsoft Azure، انتقل إلى Resource Manager وحدد مستكشف الرسم البياني للموارد. الاستفسار التالي يبحث عن جميع الأجهزة الافتراضية في النطاق المحدد التي تحتوي على نظام تشغيل لا يدعم TLS 1.2. هذا الاستعلام يعرض فقط إصدار نظام التشغيل للآلات الافتراضية التي تم تشغيلها.

Resources
| where type =~ 'microsoft.compute/virtualmachines'
| extend vmName   = properties.osProfile.computerName
| extend osOffer  = properties.storageProfile.imageReference.offer
| extend osSku    = properties.storageProfile.imageReference.sku
| extend osName   = properties.extended.instanceView.osName
| extend osVersion= properties.extended.instanceView.osVersion
// Match common legacy OS names with one clause
| where osName has_any (
    'Windows XP',
    'Windows Vista',
    'Windows Server 2003',
    'CentOS 5',
    'Red Hat Enterprise Linux 5',
    'Ubuntu 10.04',
    'Ubuntu 12.04'
)
or (osName has 'Windows Server 2008' and osVersion !contains 'R2')  // special case
| project name, resourceGroup, location, vmName, osOffer, osSku, osName, osVersion, sku

3. أعط الأولوية لتحديث هذه الأجهزة الافتراضية إلى إصدار نظام تشغيل يدعم TLS 1.2، أو نقل عبء العمل إلى جهاز افتراضي يدعم ذلك.

للحصول على أسئلة عامة حول مشكلة TLS القديمة أو كيفية اختبار مجموعات التشفير المدعومة، راجع حل مشكلات TLSودعم TLS ل Azure Resource Manager.

حدد الأجهزة الافتراضية التي قد تدعم TSL 1.2+

اذكر الأجهزة الافتراضية التي تدعم TLS 1.2 ولكن يجب التحقق منها:

1. استخدم استعلام Azure Resource Graph لتدقيق إصدارات نظام التشغيل من آلاتك الافتراضية.
2. من مدخل Microsoft Azure، انتقل إلى Resource Manager وحدد مستكشف الرسم البياني للموارد. الاستفسار التالي يبحث عن جميع الأجهزة الافتراضية في النطاق المحدد التي تحتوي على نظام تشغيل يدعم TLS 1.2. بعض هذه الأنظمة لا تدعم TLS 1.2 بشكل افتراضي، أو قد تكون معطلة TLS 1.2. هذا الاستعلام يعرض فقط إصدار نظام التشغيل للآلات الافتراضية التي تم تشغيلها.

Resources
| where type =~ 'microsoft.compute/virtualmachines'
| extend vmName    = properties.osProfile.computerName
| extend osOffer   = properties.storageProfile.imageReference.offer
| extend osSku     = properties.storageProfile.imageReference.sku
| extend osName    = properties.extended.instanceView.osName
| extend osVersion = properties.extended.instanceView.osVersion
// Combine all OS names into one clause
| where osName has_any (
    // Windows OS supporting TLS 1.2+
    'Windows 7',
    'Windows 8',
    'Windows 10',
    'Windows 11',
    'Windows Server 2008 R2',
    'Windows Server 2012',
    'Windows Server 2016',
    'Windows Server 2019',
    'Windows Server 2022',
    // Linux OS supporting TLS 1.2+
    'CentOS 6',
    'CentOS 7',
    'Red Hat Enterprise Linux 6',
    'Red Hat Enterprise Linux 7',
    'Ubuntu 14.04',
    'Ubuntu 16.04',
    'Ubuntu 18.04',
    'Ubuntu 20.04'
)
| project name, resourceGroup, location, vmName, osOffer, osSku, osName, osVersion, sku

3. قم بتعطيل TLS 1.0 و1.1 وقم بتمكين TLS 1.2. لمزيد من المعلومات، راجع تكوين TLS 1.2 للعامل.

عمليا ، لا يزال أي إصدار Windows أقدم من أحدث الإصدارات يحتوي على TLS 1.0 أو 1.1 متاحا. يمكن ل Windows 7 والإصدارات الأحدث تمكين TLS 1.2، ولكنها لا تقوم بتعطيل TLS 1.0 و1.1 تلقائيا. تخطط إصدارات Windows القادمة فقط لإيقاف تشغيلها افتراضيا. تحديد الأنظمة التي لا يمكنها دعم TLS 1.2 والأنظمة التي تتطلب تحديثا أو تغييرا في السجل لدعم TLS 1.2.

في Linux ، يتم توفير دعم بروتوكول TLS بواسطة المكتبات (مثل OpenSSL و NSS و GnuTLS) التي يتم شحنها مع نظام التشغيل. تدعم إصدارات ManyLinux الأقدم من 2018-2020 TLS 1.0 و 1.1 وتتركهما ممكنين افتراضيا. بدأت الإصدارات الأحدث في تعطيل طبقة النقل الآمنة القديمة افتراضيا.

للحصول على أسئلة عامة حول مشكلة TLS القديمة أو كيفية اختبار مجموعات التشفير المدعومة، راجع حل مشكلات TLSودعم TLS ل Azure Resource Manager.

إعداد تدقيق استعلام السجل

1. تكوين تدقيق استعلام السجل لتسجيل تفاصيل كل استعلام يتم تشغيله في مساحة عمل.
   الإرشادات: تدقيق الاستعلامات في سجلات Azure Monitor
2. تعامل مع بيانات تدقيق استعلام السجل كبيانات أمان ووصول آمن إلى جدول LAQueryLogs بشكل مناسب.
   الإرشادات: تكوين الوصول إلى البيانات في مساحة العمل بناء على الحاجة.
3. إذا قمت بفصل البيانات التشغيلية وبيانات الأمان، أرسل سجلات التدقيق لكل مساحة عمل إلى مساحة العمل المحلية، أو قم بدمجها في مساحة عمل أمان مخصصة.
   الإرشادات: تكوين الوصول إلى البيانات في مساحة العمل بناء على الحاجة.
4. استخدم تحليلات مساحة عمل Log Analytics لمراجعة بيانات تدقيق استعلام السجل بشكل دوري.
   الإرشادات: تحليلات مساحة عمل Log Analytics.
5. إنشاء قواعد تنبيه بحث السجل لإعلامك إذا كان المستخدمون غير المصرح لهم يحاولون تشغيل الاستعلامات.
   الإرشادات: تسجيل قواعد تنبيه البحث.

ضمان عدم قابلية بيانات التدقيق للتغيير

Azure Monitor هو نظام أساسي لبيانات الإلحاق فقط، ولكنه يتضمن أحكاما لحذف البيانات لأغراض التوافق. لتأمين بيانات التدقيق الخاصة بك:

1. قم بتعيين تأمين على مساحة عمل Log Analytics لحظر جميع الأنشطة التي يمكن أن تحذف البيانات، بما في ذلك إزالة البيانات وحذف الجدول وتغييرات استبقاء البيانات على مستوى الجدول أو مساحة العمل. ومع ذلك، ضع في اعتبارك أنه يمكن إزالة هذا التأمين.
   إرشادات: تأمين مواردك لحماية بنيتك الأساسية

2. إذا كنت بحاجة إلى حل مقاوم للعبث بالكامل، نوصي بتصدير بياناتك إلى حل تخزين غير قابل للتغيير:

   1. تحديد أنواع البيانات المحددة التي يجب تصديرها. ليست جميع أنواع السجلات لها نفس الصلة بالتوافق أو التدقيق أو الأمان.
   2. استخدم تصدير البيانات لإرسال البيانات إلى حساب تخزين Azure.
      الإرشادات: تصدير بيانات مساحة عمل Log Analytics في Azure Monitor
   3. تعيين نهج عدم قابلية التغيير للحماية من العبث بالبيانات.
      الإرشادات: تكوين نهج عدم قابلية التغيير لإصدارات الكائن الثنائي كبير الحجم

تصفية البيانات الحساسة أو تعتيمها في مساحة العمل

إذا كانت بيانات السجل تتضمن معلومات حساسة:

1. تصفية السجلات التي لا ينبغي تجميعها باستخدام التكوين لمصدر بيانات معين.
2. استخدم التحويل إذا كان يجب إزالة أعمدة معينة فقط في البيانات أو تعتيمها.
   الإرشادات: التحويلات في Azure Monitor
3. إذا كانت لديك معايير تتطلب عدم تعديل البيانات الأصلية، فاستخدم القيمة الحرفية 'h' في استعلامات KQL لتعتيم نتائج الاستعلام المعروضة في المصنفات.
   التعليمات: القيم الحرفية للسلسلة المعتيمة

إزالة البيانات الحساسة التي تم جمعها عن طريق الخطأ

1. تحقق بشكل دوري من البيانات الخاصة التي قد يتم جمعها عن طريق الخطأ في مساحة العمل الخاصة بك.
2. استخدم إزالة البيانات لإزالة البيانات غير المرغوب فيها. لاحظ أنه لا يمكن حاليا إزالة البيانات الموجودة في الجداول ذات الخطة المساعدة .
   الإرشادات: إدارة البيانات الشخصية في سجلات Azure Monitor وApplication Insights

ربط مساحة العمل الخاصة بك بمجموعة مخصصة لتحسين الأمان

يقوم Azure Monitor بتشفير جميع البيانات الثابتة والاستعلامات المحفوظة باستخدام المفاتيح المدارة من Microsoft (MMK). إذا قمت بجمع بيانات كافية لمجموعة مخصصة، فربط مساحة العمل الخاصة بك بمجموعة مخصصة لميزات الأمان المحسنة، بما في ذلك:

• مفاتيح يديرها العميل لمزيد من المرونة والتحكم في دورة حياة المفتاح. إذا كنت تستخدم Microsoft Sentinel، فتأكد من أنك على دراية بالاعتبارات في إعداد المفتاح الذي يديره العميل في Microsoft Sentinel.
• مربع تأمين العميل ل Microsoft Azure لمراجعة طلبات الوصول إلى بيانات العميل والموافقة عليها أو رفضها. يتم استخدام مربع تأمين العميل عندما يحتاج مهندس Microsoft إلى الوصول إلى بيانات العميل، سواء استجابة لتذكرة دعم بدأها العميل أو مشكلة حددتها Microsoft. لا يمكن تطبيق Lockbox حاليا على الجداول ذات الخطة الإضافية.

الإرشادات: إنشاء مجموعة مخصصة وإدارتها في سجلات Azure Monitor

حظر الوصول إلى مساحة العمل من الشبكات العامة باستخدام ارتباط Azure الخاص

تؤمن Microsoft الاتصالات بنقاط النهاية العامة باستخدام التشفير الشامل. إذا كنت تحتاج إلى نقطة نهاية خاصة، فاستخدم رابط Azure الخاص للسماح للموارد بالاتصال بمساحة عمل Log Analytics من خلال الشبكات الخاصة المعتمدة. يمكنك أيضا استخدام الارتباط الخاص لفرض استيعاب بيانات مساحة العمل من خلال ExpressRoute أو VPN.

الإرشادات: تصميم إعداد Azure Private Link

استيعاب Application Insights TLS

تكوينات TLS المدعومة

يستخدم Application Insights بروتوكول أمان طبقة النقل (TLS) 1.2 و1.3. بالإضافة إلى ذلك، يتم أيضا دعم مجموعات التشفير والمنحنيات الإهليليجية التالية داخل كل إصدار.

الإصدار	مجموعات التشفير	منحنيات بيضاوية
TLS 1.2	• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	• نيستP384 • نيستP256
TLS 1.3	• TLS_AES_256_GCM_SHA384 • TLS_AES_128_GCM_SHA256	• نيستP384 • نيستP256

إهمال تكوينات أمان طبقة النقل (TLS)

مهم

لتحسين الأمان، يحظر Azure تكوينات TLS التالية ل Application Insights في 1 مايو 2025. هذا التغيير هو جزء من إيقاف TLS القديم على مستوى Azure:

• مجموعات تشفير TLS 1.2 وTLS 1.3 القديمة
• منحنيات TLS البيضاوية القديمة

TLS 1.2 وTLS 1.3

الإصدار	مجموعات التشفير	منحنيات بيضاوية
TLS 1.2	* TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA	* منحنى25519
TLS 1.3		* منحنى25519

لمزيد من المعلومات، راجع دعم TLS في الأسئلة المتداولة حول Application Insights.

التنبيهات

التحكم في أذونات قاعدة تنبيه البحث في السجل باستخدام الهويات المدارة

يتمثل التحدي الشائع للمطورين في إدارة البيانات السرية وبيانات الاعتماد والشهادات والمفاتيح المستخدمة لتأمين الاتصال بين الخدمات. الهويات المُدارة تلغي حاجة المطورين إلى إدارة بيانات الاعتماد هذه. يمنحك تعيين هوية مدارة لقواعد تنبيه البحث في السجل التحكم والرؤية في الأذونات الدقيقة لقاعدة التنبيه الخاصة بك. في أي وقت، يمكنك عرض أذونات استعلام القاعدة وإضافة الأذونات أو إزالتها مباشرة من هويتها المدارة.

يعد استخدام هوية مدارة مطلوبا إذا كان استعلام القاعدة يصل إلى Azure Data Explorer (ADX) أو Azure Resource Graph (ARG).

الإرشادات: إنشاء قاعدة تنبيه بحث السجل أو تحريرها.

تعيين دور قارئ المراقبة لجميع المستخدمين الذين لا يحتاجون إلى امتيازات التكوين

تعزيز الأمان من خلال منح المستخدمين أقل الامتيازات المطلوبة لدورهم.

الإرشادات: الأدوار والأذونات والأمان في Azure Monitor.

استخدام إجراءات إخطار على الويب الآمنة حيثما أمكن ذلك

إذا كانت قاعدة التنبيه تحتوي على مجموعة إجراءات تستخدم إجراءات إخطار على الويب، ففضل استخدام إجراءات إخطار على الويب الآمنة للمصادقة الأقوى.

الإرشادات: تكوين المصادقة لخطاف الويب الآمن.

استخدم المفاتيح المدارة من قبل العميل إذا كنت بحاجة إلى مفتاح التشفير الخاص بك لحماية البيانات والاستعلامات المحفوظة في مساحات العمل الخاصة بك

يقوم Azure Monitor بتشفير جميع البيانات والاستعلامات المحفوظة الثابتة باستخدام المفاتيح المدارة من Microsoft (MMK). إذا كنت تحتاج إلى مفتاح التشفير الخاص بك وجمع بيانات كافية لمجموعة مخصصة، فاستخدم المفاتيح المدارة من قبل العميل لمزيد من المرونة والتحكم في دورة حياة المفتاح.

الإرشادات: المفاتيح التي يديرها العميل.

إذا كنت تستخدم Microsoft Sentinel، فشاهدإعداد مفتاح Microsoft Sentinel المدار بواسطة العميل.

مراقبة الجهاز الظاهري

تنفيذ مراقبة الأمان للأجهزة الظاهرية باستخدام خدمات أمان Azure

بينما يمكن ل Azure Monitor جمع أحداث الأمان من الأجهزة الظاهرية الخاصة بك، فإنه لا يقصد استخدامه لمراقبة الأمان. يتضمن Azure خدمات متعددة مثل Microsoft Defender for Cloud وMicrosoft Sentinel التي توفر معا حلا كاملا لمراقبة الأمان. راجع مراقبة الأمان للمقارنة بين هذه الخدمات.

توصيل الأجهزة الظاهرية ب Azure Monitor من خلال نقطة نهاية خاصة باستخدام ارتباط Azure الخاص

تؤمن Microsoft الاتصالات بنقاط النهاية العامة باستخدام التشفير الشامل. إذا كنت تحتاج إلى نقطة نهاية خاصة، فاستخدم رابط Azure الخاص للسماح للموارد بالاتصال بمساحة عمل Log Analytics من خلال الشبكات الخاصة المعتمدة. يمكنك أيضا استخدام الارتباط الخاص لفرض استيعاب بيانات مساحة العمل من خلال ExpressRoute أو VPN.

الإرشادات: تصميم إعداد Azure Private Link

مراقبة الحاوية

ربط المجموعات برؤية الحاوية باستخدام المصادقة المدارة للهوية

مصادقة الهوية المدارة هي طريقة المصادقة الافتراضية للمجموعات الجديدة. إذا كنت تستخدم المصادقة القديمة، فقم بالترحيل إلى الهوية المدارة لإزالة المصادقة المحلية المستندة إلى الشهادة.

الإرشادات: الترحيل إلى مصادقة الهوية المدارة

إرسال البيانات من المجموعات إلى Azure Monitor عبر نقطة نهاية خاصة باستخدام Azure Private link

تخزن خدمة Azure المدارة ل Prometheus بياناتها في مساحة عمل Azure Monitor، والتي تستخدم نقطة نهاية عامة بشكل افتراضي. تؤمن Microsoft الاتصالات بنقاط النهاية العامة باستخدام التشفير الشامل. إذا كنت تحتاج إلى نقطة نهاية خاصة، فاستخدم ارتباط Azure الخاص للسماح لنظام المجموعة بالاتصال بمساحة العمل من خلال الشبكات الخاصة المعتمدة. يمكنك أيضا استخدام الرابط الخاص لإجبار إدخال بيانات مساحة العمل عبر ExpressRoute أو VPN.

الإرشادات: راجع تمكين الارتباط الخاص لمراقبة Kubernetes في Azure Monitor للحصول على تفاصيل حول تكوين نظام المجموعة للارتباط الخاص. انظر استخدام نقاط النهاية الخاصة لمساحة العمل المدارة Prometheus وAzure Monitor لمزيد من التفاصيل حول استعلام بياناتك باستخدام الرابط الخاص.

مراقبة حركة مرور الشبكة من وإلى المجموعات باستخدام تحليلات حركة المرور

تحلل تحليلات نسبة استخدام الشبكة سجلات تدفق Azure Network Watcher NSG لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. استخدم هذه الأداة لضمان عدم وجود تسرب بيانات لمجموعتك ولاكتشاف ما إذا كانت هناك عناوين IP عامة غير ضرورية مكشوفة.

تمكين إمكانية مراقبة الشبكة

توفر إضافة الملاحظة الشبكية ل AKS قابلية رصد عبر طبقات متعددة من مكدس شبكات Kubernetes. مراقبة ومراقبة الوصول بين الخدمات في نظام المجموعة (نسبة استخدام الشبكة بين الشرق والغرب).

الإرشادات: إعداد مراقبة شبكة الحاوية لخدمة Azure Kubernetes (AKS)

تأمين مساحة عمل Log Analytics

ترسل نتائج تحليلات الحاوية البيانات إلى مساحة عمل Log Analytics. تأكد من تأمين استيعاب وتخزين السجلات في مساحة عمل تحليلات السجلات الخاص بك.

الإرشادات: تسجيل الاستيعاب والتخزين.

كيف تؤمن Microsoft Azure Monitor

تستند الإرشادات الواردة في هذه المقالة إلى نموذج مسؤولية أمان Microsoft. كجزء من هذا النموذج للمسؤولية المشتركة، توفر Microsoft إجراءات الأمان هذه لعملاء Azure Monitor:

• أمان البنية الأساسية ل Azure
• حماية بيانات عملاء Azure
• تشفير البيانات المتنقلة أثناء استيعاب البيانات
• تشفير البيانات الثابتة باستخدام المفاتيح المدارة من Microsoft
• مصادقة Microsoft Entra للوصول إلى مستوى البيانات
• مصادقة عامل Azure Monitor وApplication Insights باستخدام الهويات المدارة
• الوصول المتميز إلى إجراءات مستوى البيانات باستخدام التحكم في الوصول استنادا إلى الدور (Azure RBAC)
• الامتثال لمعايير ولوائح الصناعة

إرشادات أمان Azure وأفضل الممارسات

تستند إرشادات النشر الآمن ل Azure Monitor إلى إرشادات الأمان السحابي الشاملة وأفضل الممارسات الخاصة ب Azure، والتي تتضمن:

• Cloud Adoption Framework، الذي يوفر إرشادات الأمان للفرق التي تدير البنية الأساسية التكنولوجية.
• Azure Well-Architected Framework، الذي يوفر أفضل الممارسات المعمارية لإنشاء تطبيقات آمنة.
• معيار أمان السحابة من Microsoft (MCSB)، الذي يصف ميزات الأمان المتاحة والتكوينات المثلى الموصى بها.
• ثقة معدومة مبادئ الأمان، والتي توفر إرشادات لفرق الأمن لتنفيذ القدرات التقنية لدعم مبادرة تحديث ثقة معدومة.

الخطوة التالية

• تعرف على المزيد حول بدء استخدام Azure Monitor.