مشاركة عبر

Microsoft Sentinel في مدخل Microsoft Defender

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Microsoft Defender portal

يتوفر Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. يتم الآن دعم Microsoft Sentinel في مدخل Defender لاستخدام الإنتاج. لمزيد من المعلومات، راجع:

توضح هذه المقالة تجربة Microsoft Sentinel في مدخل Microsoft Defender.

قدرات جديدة ومحسنة

يصف الجدول التالي الإمكانات الجديدة أو المحسنة المتوفرة في مدخل Defender مع تكامل Microsoft Sentinel وDefender XDR.

القدرات ‏‏الوصف
الصيد المتقدم الاستعلام من مدخل واحد عبر مجموعات بيانات مختلفة لجعل التتبع أكثر كفاءة وإزالة الحاجة إلى تبديل السياق. استخدم Copilot for Security للمساعدة في إنشاء KQL الخاص بك. عرض واستعلام جميع البيانات بما في ذلك البيانات من خدمات أمان Microsoft وMicrosoft Sentinel. استخدم جميع محتويات مساحة عمل Microsoft Sentinel الموجودة، بما في ذلك الاستعلامات والوظائف.

لمزيد من المعلومات، راجع المقالات التالية:
- التتبع المتقدم في مدخل Microsoft Defender
- Copilot for Security في التتبع المتقدم
تعطيل الهجوم نشر تعطيل الهجوم التلقائي ل SAP مع كل من النظام الأساسي لعمليات الأمان الموحدة وحل Microsoft Sentinel لتطبيقات SAP. على سبيل المثال، تحتوي على أصول مخترقة عن طريق تأمين مستخدمي SAP المشبوهين في حالة هجوم التلاعب بالعملية المالية.

تتوفر قدرات تعطيل الهجوم ل SAP في مدخل Defender فقط. لاستخدام تعطيل الهجوم ل SAP، قم بتحديث إصدار عامل موصل البيانات وتأكد من تعيين دور Azure ذي الصلة إلى هوية العامل الخاص بك.

لمزيد من المعلومات، راجع تعطيل الهجوم التلقائي ل SAP.
تحسينات SOC احصل على توصيات عالية الدقة وقابلة للتنفيذ لمساعدتك في تحديد المجالات من أجل:
- خفض التكاليف
- إضافة عناصر تحكم الأمان
- إضافة بيانات مفقودة
تتوفر تحسينات SOC في مداخل Defender وAzure، وهي مصممة خصيصا للبيئة الخاصة بك، وتستند إلى التغطية الحالية والمشهد الأفقي للمخاطر.

لمزيد من المعلومات، راجع المقالات التالية:
- تحسين عمليات الأمان
- مرجع تحسين SOC للتوصيات
الكيانات الموحدة تعرض صفحات الكيان للأجهزة والمستخدمين وعناوين IP وموارد Azure في مدخل Defender معلومات من مصادر بيانات Microsoft Sentinel وDefender. تمنحك صفحات الكيان هذه سياقا موسعا لتحقيقاتك في الحوادث والتنبيهات في مدخل Defender.

لمزيد من المعلومات، راجع التحقيق في الكيانات ذات صفحات الكيان في Microsoft Sentinel.
الحوادث الموحدة إدارة الحوادث الأمنية والتحقيق فيها في موقع واحد ومن قائمة انتظار واحدة في مدخل Defender. استخدم Copilot for Security للتلخيص والاستجابة والإبلاغ. وتشمل الحوادث ما يلي:
- بيانات من اتساع المصادر
- الذكاء الاصطناعي أدوات التحليلات لمعلومات الأمان وإدارة الأحداث (SIEM)
- أدوات السياق والتخفيف التي يوفرها الكشف والاستجابة الموسعة (XDR)

لمزيد من المعلومات، راجع المقالات التالية:
- الاستجابة للحوادث في مدخل Microsoft Defender
- التحقيق في حوادث Microsoft Sentinel في Copilot for Security

اختلافات القدرة بين المداخل

تتوفر معظم قدرات Microsoft Sentinel في كل من مداخل Azure وDefender. في مدخل Defender، تفتح بعض تجارب Microsoft Sentinel على مدخل Microsoft Azure لإكمال مهمة.

يغطي هذا القسم قدرات Microsoft Sentinel أو عمليات التكامل في النظام الأساسي لعمليات الأمان الموحدة المتوفرة فقط في مدخل Microsoft Azure أو مدخل Defender أو الاختلافات الهامة الأخرى بين المداخل. يستثني تجارب Microsoft Sentinel التي تفتح مدخل Microsoft Azure من مدخل Defender.

الإمكانية التوافر ‏‏الوصف
التتبع المتقدم باستخدام الإشارات المرجعية مدخل Azure فقط الإشارات المرجعية غير مدعومة في تجربة التتبع المتقدمة في مدخل Microsoft Defender. في مدخل Defender، يتم دعمها في Microsoft Sentinel > Threat management > Hunting.

لمزيد من المعلومات، راجع تعقب البيانات أثناء التتبع باستخدام Microsoft Sentinel.
تعطيل الهجوم ل SAP مدخل Defender فقط هذه الوظيفة غير متوفرة في مدخل Microsoft Azure.

لمزيد من المعلومات، راجع تعطيل الهجوم التلقائي في مدخل Microsoft Defender.
Automation تتوفر بعض إجراءات التنفيذ التلقائي فقط في مدخل Microsoft Azure.

إجراءات التنفيذ التلقائي الأخرى هي نفسها في مداخل Defender وAzure، ولكنها تختلف في مدخل Azure بين مساحات العمل التي تم إلحاقها بالنظام الأساسي لعمليات الأمان الموحدة ومساحات العمل غير الموجودة.

لمزيد من المعلومات، راجع التنفيذ التلقائي مع النظام الأساسي لعمليات الأمان الموحدة.
موصلات البيانات: رؤية الموصلات المستخدمة من قبل النظام الأساسي لعمليات الأمان الموحدة مدخل Azure فقط في مدخل Defender، بعد إلحاق Microsoft Sentinel، لا تظهر موصلات البيانات التالية التي تعد جزءا من النظام الأساسي لعمليات الأمان الموحدة في صفحة موصلات البيانات:
  • تطبيقات Microsoft Defender للسحابة
  • Microsoft Defender لنقطة النهاية
  • Microsoft Defender for Identity
  • Microsoft Defender لـ Office 365 (معاينة)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud المستند إلى الاشتراك (قديم)
  • Microsoft Defender for Cloud المستند إلى المستأجر (معاينة)

    في مدخل Microsoft Azure، لا تزال موصلات البيانات هذه مدرجة مع موصلات البيانات المثبتة في Microsoft Sentinel.
    		•
    الكيانات: إضافة كيانات إلى التحليل الذكي للمخاطر من الحوادث مدخل Azure فقط هذه الوظيفة غير متوفرة في النظام الأساسي لعمليات الأمان الموحدة.

    لمزيد من المعلومات، راجع إضافة كيان إلى مؤشرات التهديد.
    الاندماج: الكشف المتقدم عن الهجمات متعددة المهام مدخل Azure فقط يتم تعطيل قاعدة تحليلات الاندماج، التي تنشئ حوادث استنادا إلى ارتباطات التنبيه التي أجراها محرك ارتباط Fusion، عند إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة.

    يستخدم النظام الأساسي لعمليات الأمان الموحدة وظائف إنشاء الحوادث والارتباط الخاصة ب Microsoft Defender XDR لاستبدال وظائف محرك Fusion.

    لمزيد من المعلومات، راجع الكشف المتقدم عن الهجمات متعددة المهام في Microsoft Sentinel
    الحوادث: إضافة تنبيهات إلى الحوادث /
    إزالة التنبيهات من الحوادث    		 مدخل Defender فقط بعد إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، لم يعد بإمكانك إضافة تنبيهات إلى الحوادث في مدخل Microsoft Azure أو إزالتها منها.

    يمكنك إزالة تنبيه من حدث في مدخل Defender، ولكن فقط عن طريق ربط التنبيه بحادث آخر (موجود أو جديد).
    الحوادث: تحرير التعليقات مدخل Azure فقط بعد إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، يمكنك إضافة تعليقات إلى الحوادث في أي من المدخلين، ولكن لا يمكنك تحرير التعليقات الموجودة.

    لا تتم مزامنة عمليات التحرير التي تم إجراؤها على التعليقات في مدخل Microsoft Azure مع النظام الأساسي لعمليات الأمان الموحدة.
    الحوادث: الإنشاء البرمجي واليدوي للحوادث مدخل Azure فقط لا تتم مزامنة الحوادث التي تم إنشاؤها في Microsoft Sentinel من خلال واجهة برمجة التطبيقات أو من خلال دليل مبادئ Logic App أو يدويا من مدخل Microsoft Azure إلى النظام الأساسي لعمليات الأمان الموحدة. لا تزال هذه الحوادث مدعومة في مدخل Microsoft Azure وواجهة برمجة التطبيقات. راجع إنشاء الحوادث الخاصة بك يدويا في Microsoft Sentinel.
    الحوادث: إعادة فتح الحوادث المغلقة مدخل Azure فقط في النظام الأساسي لعمليات الأمان الموحدة، لا يمكنك تعيين تجميع التنبيهات في قواعد تحليلات Microsoft Sentinel لإعادة فتح الحوادث المغلقة إذا تمت إضافة تنبيهات جديدة.
    لا يعاد فتح الحوادث المغلقة في هذه الحالة، وتشغل التنبيهات الجديدة حوادث جديدة.
    الحوادث: المهام مدخل Azure فقط المهام غير متوفرة في النظام الأساسي لعمليات الأمان الموحدة.

    لمزيد من المعلومات، راجع استخدام المهام لإدارة الحوادث في Microsoft Sentinel.

    مرجع سريع

    يتم دمج بعض قدرات Microsoft Sentinel، مثل قائمة انتظار الحوادث الموحدة، مع Microsoft Defender XDR في النظام الأساسي لعمليات الأمان الموحدة. تتوفر العديد من قدرات Microsoft Sentinel الأخرى في قسم Microsoft Sentinel في مدخل Defender.

    تظهر الصورة التالية قائمة Microsoft Sentinel في مدخل Defender:

    لقطة شاشة لمدخل Defender للتنقل الأيسر مع قسم Microsoft Sentinel.

    تصف الأقسام التالية مكان العثور على ميزات Microsoft Sentinel في مدخل Defender. يتم تنظيم الأقسام حيث يوجد Microsoft Sentinel في مدخل Microsoft Azure.

    عام

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender للقسم عام في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    نظرة عامة نظرة عامة
    السجلات البحث والاستجابة > التتبع > المتقدم
    الأخبار والأدلة غير متوفرة
    بحث بحث Microsoft Sentinel >

    إدارة التهديدات

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender لقسم إدارة المخاطر في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    الحوادث التحقيق والاستجابة > لحوادث التنبيهات >
    مصنفات مصنفات إدارة> المخاطر في Microsoft Sentinel >
    التتبع تتبع إدارة > المخاطر في Microsoft Sentinel >
    دفاتر الملاحظات دفاتر ملاحظات إدارة > المخاطر في Microsoft Sentinel >
    سلوك الكيان صفحة كيان المستخدم: هويات> الأصول > {user}> أحداث Sentinel
    صفحة كيان الجهاز: أجهزة الأصول > >{device}> أحداث Sentinel

    ابحث أيضا عن صفحات الكيان لأنواع كيان المستخدم والجهاز وIP وAzure من الحوادث والتنبيهات كما تظهر.
    تحليل ذكي للمخاطر تحليل ذكي للمخاطر لإدارة > المخاطر في Microsoft Sentinel >
    MITRE ATT CK إدارة > المخاطر في Microsoft Sentinel > MITRE ATT CK

    إدارة المحتوى

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender لقسم إدارة المحتوى في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    مركز المحتوى مركز محتوى إدارة > محتوى Microsoft Sentinel >
    المستودعات مستودعات إدارة > محتوى Microsoft Sentinel >
    المجتمع مجتمع إدارة > محتوى Microsoft Sentinel >

    التكوين

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender لقسم التكوين في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    مدير مساحة العمل غير متوفرة
    موصلات البيانات موصلات بيانات تكوين > Microsoft Sentinel >
    التحليلات تحليلات تكوين > Microsoft Sentinel >
    قوائم المشاهدة قوائم مراقبة تكوين > Microsoft Sentinel >
    Automation أتمتة تكوين > Microsoft Sentinel >
    إعدادات إعدادات > النظام > Microsoft Sentinel

    المحتوى ذو الصلة