استيعاب تنبيهات Microsoft Defender for Cloud إلى Microsoft Sentinel
تسمح لك الحماية المتكاملة لأحمال العمل السحابية من Microsoft Defender for Cloud بالكشف عن التهديدات والاستجابة لها بسرعة عبر أحمال العمل المختلطة ومتعددة السحابات.
يتيح لك هذا الموصل استيعاب تنبيهات الأمان من Defender for Cloud في Microsoft Sentinel، حتى تتمكن من عرض تنبيهات Defender وتحليلها والاستجابة لها، والحوادث التي تنشئها، في سياق تهديد مؤسسي أوسع.
نظرا إلى تمكين خطط Microsoft Defender for Cloud Defender لكل اشتراك، يتم أيضا تمكين موصل البيانات هذا أو تعطيله بشكل منفصل لكل اشتراك.
يتيح لك موصل Microsoft Defender for Cloud الجديد المستند إلى المستأجر، في PREVIEW، جمع تنبيهات Defender for Cloud عبر المستأجر بأكمله، دون الحاجة إلى تمكين كل اشتراك بشكل منفصل. كما أنه يستفيد من تكامل Defender for Cloud مع Microsoft Defender XDR (المعروف سابقا ب Microsoft 365 Defender) لضمان تضمين جميع تنبيهات Defender for Cloud بالكامل في أي حوادث تتلقاها من خلال تكامل حدث Microsoft Defender XDR.
إشعار
للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .
مزامنة التنبيه
عند توصيل Microsoft Defender for Cloud بـ Microsoft Sentinel، تتم مزامنة حالة تنبيهات الأمان التي يتم استيعابها في Microsoft Sentinel بين الخدمتين. لذلك، على سبيل المثال، عند إغلاق تنبيه في Defender for Cloud، سيُعرَض هذا التنبيه على أنه مغلق في Microsoft Azure Sentinel أيضاً.
لن يؤثر تغيير حالة تنبيه في Defender for Cloud على حالة أي حوادث Microsoft Sentinel تحتوي على تنبيه Microsoft Sentinel، فقط حالة التنبيه نفسه.
تزامن التنبيه ثنائي الاتجاه
سيؤدي تمكين المزامنة ثنائية الاتجاه إلى مزامنة حالة تنبيهات الأمان الأصلية تلقائيًا مع حالة أحداث Microsoft Sentinel التي تحتوي على هذه التنبيهات. لذلك، على سبيل المثال، عند إغلاق حدث Microsoft Sentinel يحتوي على تنبيهات أمان، سيتم إغلاق التنبيه الأصلي المقابل في Microsoft Defender for Cloud تلقائيا.
المتطلبات الأساسية
يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.
يجب أن يكون لديك دور المساهم أو المالك في الاشتراك الذي تريد الاتصال به ب Microsoft Sentinel.
ستحتاج إلى تمكين خطة واحدة على الأقل داخل Microsoft Defender for Cloud لكل اشتراك حيث تريد تمكين الموصل. لتمكين خطط Microsoft Defender على اشتراك، يجب أن يكون لديك دور مسؤول الأمان لهذا الاشتراك.
ستحتاج إلى
SecurityInsightsتسجيل موفر الموارد لكل اشتراك حيث تريد تمكين الموصل. راجع الإرشادات حول حالة تسجيل موفر الموارد وطرق تسجيله.لتمكين المزامنة ثنائية الاتجاه، يجب أن يكون لديك دور المساهم أو مسؤول الأمان على الاشتراك ذي الصلة.
قم بتثبيت الحل ل Microsoft Defender for Cloud من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.
الاتصال بـ Microsoft Defender for Cloud
في Microsoft Sentinel، حدد Data connectors من قائمة التنقل.
من معرض موصلات البيانات، حدد Microsoft Defender for Cloud، وحدد فتح صفحة الموصل في جزء التفاصيل.
ضمن التكوين، سترى قائمة الاشتراكات في المستأجر الخاص بك، وحالة اتصالها بـ Microsoft Defender for Cloud. حدد تبديل الحالة بجوار كل اشتراك تريد بث تنبيهاته إلى Microsoft Sentinel. إذا كنت ترغب في توصيل العديد من الاشتراكات في وقت واحد، يمكنك القيام بذلك عن طريق وضع علامة على خانات الاختيار بجوار الاشتراكات ذات الصلة ثم تحديد زر الاتصال على الشريط أعلى القائمة.
إشعار
- ستكون خانات الاختيار وأزرار تبديل الاتصال نشطة فقط على الاشتراكات التي لديك الأذونات المطلوبة لها.
- لن يكون زر الاتصال نشطًا إلا إذا تم وضع علامة على خانة اختيار اشتراك واحد على الأقل.
لتمكين المزامنة ثنائية الاتجاه على اشتراك، حدد موقع الاشتراك في القائمة، واختر Enabled من القائمة المنسدلة في عمود Bi-directional sync. لتمكين المزامنة ثنائية الاتجاه على عدة اشتراكات في وقت واحد، ضع علامة على خانات الاختيار الخاصة بها وحدد الزر Enable bi-directional sync على الشريط أعلى القائمة.
إشعار
- ستكون خانات الاختيار والقوائم المنسدلة نشطة فقط على الاشتراكات التي لديك الأذونات المطلوبة لها.
- لن يكون زر Enable bi-directional sync نشطًا إلا إذا تم وضع علامة على خانة اختيار اشتراك واحد على الأقل.
في عمود خطط Microsoft Defender في القائمة، يمكنك معرفة ما إذا كانت خطط Microsoft Defender ممكنة على اشتراكك (شرط أساسي لتمكين الموصل). ستكون قيمة كل اشتراك في هذا العمود إما فارغة (بمعنى أنه لم يتم تمكين خطط Defender) أو "All enabled" أو "Some enabled". سيكون لأولئك الذين يقولون "Some enabled" أيضًا ارتباط Enable all ما يمكنك تحديده، الذي سينقلك إلى لوحة معلومات تكوين Microsoft Defender for Cloud لهذا الاشتراك، حيث يمكنك اختيار خطط Defender لتمكينها. سينقلك الزر تمكين Microsoft Defender لجميع الاشتراكات على الشريط الموجود أعلى القائمة إلى صفحة بدء استخدام Microsoft Defender for Cloud، حيث يمكنك اختيار الاشتراكات لتمكين Microsoft Defender for Cloud تمامًا.
يمكنك تحديد ما إذا كنت تريد من تنبيهات Microsoft Defender for Cloud أن تنشئ الأحداث تلقائيا في Microsoft Sentinel. ضمن إنشاء أحداث، حدد تمكين لتشغيل قاعدة التحليلات الافتراضية التي تنشئ الأحداث تلقائيًا من التنبيهات. يمكنك بعد ذلك تحرير هذه القاعدة ضمن التحليلات، في علامة التبويب القواعد النشطة.
تلميح
عند تكوين قواعد تحليلات مخصصة للتنبيهات من Microsoft Defender for Cloud، ضع في اعتبارك خطورة التنبيه لتجنب فتح الحوادث للتنبيهات المعلوماتية.
لا تمثل التنبيهات الإعلامية في Microsoft Defender for Cloud خطرًا أمنيًا من تلقاء نفسها، وهي ذات صلة فقط في سياق حادث مفتوح موجود. لمزيد من المعلومات، راجع تنبيهات الأمان والحوادث في Microsoft Defender for Cloud.
البحث عن بياناتك وتحليلها
إشعار
قد تستغرق مزامنة التنبيه في كلا الاتجاهين بضع دقائق. قد لا يتم عرض التغييرات في حالة التنبيهات على الفور.
يتم تخزين تنبيهات الأمان في جدول SecurityAlert في مساحة عمل Log Analytics.
للاستعلام عن تنبيهات الأمان في Log Analytics، انسخ ما يلي في نافذة الاستعلام كنقطة بداية:
SecurityAlert | where ProductName == "Azure Security Center"راجع علامة التبويب الخطوات التالية في صفحة الموصل للحصول على استعلامات عينة إضافية مفيدة وقوالب قواعد التحليلات والمصنفات الموصى بها.
الخطوات التالية
في هذا المستند، تعلمت كيفية توصيل Microsoft Defender for Cloud بـ Microsoft Sentinel ومزامنة التنبيهات بينهما. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:
- تعرّف على كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة.
- ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.
- اكتب القواعد الخاصة بك للكشف عن التهديدات.