حماية بيانات Microsoft Defender for Cloud
لمساعدة العملاء على منع التهديدات واكتشافها والاستجابة لها، يقوم Microsoft Defender for Cloud بجمع البيانات المتعلقة بالأمان ومعالجتها، بما في ذلك معلومات التكوين وبيانات التعريف وسجلات الأحداث وغيرها. تلتزم Microsoft بتعليمات أمان وامتثال صارمة - بدءاً من التكويد إلى تشغيل الخدمات.
توضح هذه المقالة كيفية إدارة البيانات وحمايتها في Defender for Cloud.
مصادر البيانات
يقوم Defender for Cloud بتحليل البيانات من المصادر التالية لتوفير الرؤية في حالة الأمان الخاصة بك، وتحديد نقاط الضعف والتوصية بالتخفيف، والكشف عن التهديدات النشطة:
- خدمات Azure: استخدام المعلومات الخاصة بتهيئة خدمات Azure التي نشرتها من خلال التواصل مع مصدر تقديم الخدمة.
- حركة شبكة الاتصال : استخدام عينة بيانات تعريف حركة اتصال الشبكة الموجودة في البنية الأساسية في Microsoft مثل المصدر/وجهة وصول عنوان IP/ المنفذ، وحجم الحزمة، وبروتوكول الشبكة.
- حلول الشركاء:استخدام تنبيهات الأمان مثل جدران الحماية وحلول مكافحة البرامج الضارة في حلول الشركاء المتكاملة.
- أجهزتك:استخدام تفاصيل التهيئة ومعلومات أحداث الأمان، مثل أحداث Windows وسجلات التدقيق، ورسائل syslog في جهازك.
مشاركة البيانات
عند تمكين Defender for Storage Malware Scanning، قد يشارك بيانات التعريف، بما في ذلك بيانات التعريف المصنفة على أنها بيانات العميل (مثل تجزئة SHA-256)، مع Microsoft Defender لنقطة النهاية.
يشارك Microsoft Defender for Cloud الذي يقوم بتشغيل خطة Defender for Cloud Security Posture Management (CSPM) البيانات المدمجة في توصيات إدارة التعرض لمخاطر الأمان من Microsoft.
إشعار
Microsoft Security Exposure Management حاليا في المعاينة العامة.
حماية البيانات
فصل البيانات
الاحتفاظ بالبيانات مُنفصلة كل على حدة بشكل منطقي في جميع أجزاء الخدمة. يتم التعليم على جميع البيانات باسم مؤسستها. تستمر خاصية التحديد هذه طوال فترة عمل البرنامج، وتُطبّق على كل طبقات الخدمة.
الوصول إلى البيانات
لتقديم توصيات الأمان والتحقيق في التهديدات الأمنية المحتملة، قد يصل موظفو Microsoft إلى المعلومات التي تم جمعها أو تحليلها بواسطة خدمات Azure، بما في ذلك أحداث إنشاء العملية، وغيرها من البيانات الاصطناعية، والتي قد تتضمن عن غير قصد بيانات العملاء أو البيانات الشخصية من أجهزتك.
نحن نلتزم بملحق حماية بيانات Microsoft Online Services، الذي ينص على أن Microsoft لن تستخدم بيانات العميل أو تستمد معلومات منها لأي إعلانات أو أغراض تجارية مماثلة. لا نستخدم بيانات العملاء إلَّا بحسب الحاجة إلى تزويدك بخدمات Azure، بما في فيها الأغراض المتوافقة مع توفير تلك الخدمات. تحتفظ بجميع الحقوق الخاصة ببيانات العميل.
استخدام البيانات
تستخدم Microsoft الإرشادات وذكاء التهديدات التي تمت ملاحظتها لدى العديد من المستأجرين من أجل تعزيز قدرات الوقاية والكشف لدينا، ونقوم بذلك وفقا لالتزامات الخصوصية الموضحة في بيان الخصوصية.
إدارة جمع البيانات من الأجهزة
عند تمكين Defender for Cloud في Azure، يتم تشغيل تجميع البيانات لكل اشتراك من اشتراكات Azure. يمكنك أيضاً تمكين جمع البيانات للاشتراكات الخاصة بك في Defender for Cloud. عند تمكين جمع البيانات، يقوم Defender for Cloud بتوفير عامل Log Analytics على جميع الأجهزة الظاهرية Azure المعتمدة الموجودة وأي أجهزة جديدة يتم إنشاؤها.
يبحث وكيل تحليلات السجل عن التهييئات والأحداث المختلفة المتعلقة بالأمان بداخل تتبع أحداث الـ Windows عمليات تتبع ETW. بالإضافة إلى ذلك، يقوم نظام التشغيل برفع أحداث سجل الأحداث أثناء تشغيل الجهاز. ومن الأمثلة على هذه البيانات ما يلي: نوع ونسخة نظام التشغيل، سجلات نظام التشغيل (سجلات أحداث الويندوز)، العمليات الجارية، اسم الجهاز، عناوين IP، المستخدم مسجل الدخول، ومعرّف المستأجر. يقرأ وكيل "تحليلات السجل" إدخالات سجل الأحداث وعمليات تتبع ETW وينسخها إلى نطاق العمل لتحليلها. كما يُتيح وكيل تحليلات السجل أيضاً أحداث إنشاء العمليات والتدقيق في بند الأوامر.
إذا كنت لا تستخدم ميزات الأمان المحسنة لـ Microsoft Defender for Cloud، يمكنك أيضاً تعطيل جمع البيانات من الأجهزة الظاهرية في نهج الأمان. مطلوب جمع البيانات للاشتراكات التي يتم حمايتها بواسطة ميزات الأمان المحسنة. ستظل لقطات قرص الجهاز الظاهري وتحصيل البيانات الاصطناعية مفعلة حتى عندما يتم تعطيل تحصيل البيانات.
يمكنك تحديد مكان ومساحة عمل تخزين البيانات المجمعة من جهازك. يقوم الوضع الظاهري بتخزين البيانات التي جمعها من الأجهزة في أقرب مساحة عمل كما هو موضح في الجدول التالي:
| الموقع الجيوغرافي للأجهزة الظاهرية | الموقع الجيوغرافي لمساحة العمل |
|---|---|
| الولايات المتحدة، البرازيل، جنوب أفريقيا | الولايات المتحدة |
| كندا | كندا |
| أوروبا (باستثناء المملكة المتحدة) | أوروبا |
| المملكة المتحدة | المملكة المتحدة |
| آسيا (باستثناء الهند واليابان وكوريا والصين) | آسيا/المحيط الهادئ |
| كوريا الجنوبية | آسيا/المحيط الهادئ |
| الهند | الهند |
| اليابان | اليابان |
| الصين | الصين |
| أستراليا | أستراليا |
إشعار
يخزن Azure Defender for Storage البيانات الاصطناعية إقليمياً وفقاً لموقع مورد Azure ذي الصلة. تعرّف على المزيد في نظرة عامة على Microsoft Defender for Storage.
استهلاك البيانات
يمكن للعملاء الوصول إلى Defender for Cloud للبيانات ذات الصلة من تدفقات البيانات التالية:
| الدفق | أنواع البيانات |
|---|---|
| سجل نشاط Azure | يتم إنشاء جميع التنبيهات الأمنية وطلبات الوصول المعتمدة إلى Defender for Cloud في الوقت المناسب وجميع التنبيهات بواسطة عناصر تحكم التطبيقات التكيفية. |
| سجلات Azure Monitor | جميع التنبيهات الأمنية. |
| Azure Resource Graph | تنبيهات الأمان، توصيات الأمان، نتائج تقييم الثغرات، معلومات النقاط الآمنة، تحقيقات حالات الامتثال، وغيرها. |
| Microsoft Defender for Cloud REST API | تنبيهات أمنية وتوصيات أمنية وغير ذلك. |
إشعار
إذا لم تكن هناك خطط Defender ممكنة على الاشتراك، فستتم إزالة البيانات من Azure Resource Graph بعد 30 يوما من عدم النشاط في مدخل Microsoft Defender for Cloud. بعد التفاعل مع البيانات الاصطناعية في المدخل المتعلقة بالاشتراك، يجب أن تكون البيانات مرئية مرة أخرى في غضون 24 ساعة.
تكامل Defender for Cloud وMicrosoft Defender 365 Defender
عند تمكين أي من خطط Defender for Cloud المدفوعة، فإنك تحصل تلقائيا على جميع مزايا Microsoft Defender XDR. ستتم مشاركة المعلومات من Defender for Cloud مع Microsoft Defender XDR. قد تحتوي هذه البيانات على بيانات العملاء وسيتم تخزينها وفقا لإرشادات معالجة بيانات Microsoft 365.
الخطوات التالية
في هذا المستند، تعلمت كيفية إدارة البيانات وحمايتها في Microsoft Defender for Cloud.
لمعرفة المزيد حول Microsoft Defender for Cloud، راجع ما هو Microsoft Defender for Cloud؟.