Microsoft Sentinel في مدخل Microsoft Defender (معاينة)

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Microsoft Defender portal

يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع:

توضح هذه المقالة تجربة Microsoft Sentinel في مدخل Microsoft Defender.

هام

تتعلق المعلومات الواردة في هذه المقالة بمنتج تجريبي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، صريحة كانت أو ضمنية، فيما يتعلق بالمعلومات المقدمة هنا.

قدرات جديدة ومحسنة

يصف الجدول التالي الإمكانات الجديدة أو المحسنة المتوفرة في مدخل Defender مع تكامل Microsoft Sentinel وDefender XDR.

القدرات ‏‏الوصف
الصيد المتقدم الاستعلام من مدخل واحد عبر مجموعات بيانات مختلفة لجعل التتبع أكثر كفاءة وإزالة الحاجة إلى تبديل السياق. عرض واستعلام جميع البيانات بما في ذلك البيانات من خدمات أمان Microsoft وMicrosoft Sentinel. استخدم جميع محتويات مساحة عمل Microsoft Sentinel الموجودة، بما في ذلك الاستعلامات والوظائف.

لمزيد من المعلومات، راجع التتبع المتقدم في مدخل Microsoft Defender.
تعطيل الهجوم نشر تعطيل الهجوم التلقائي ل SAP مع كل من النظام الأساسي لعمليات الأمان الموحدة وحل Microsoft Sentinel لتطبيقات SAP. على سبيل المثال، تحتوي على أصول مخترقة عن طريق تأمين مستخدمي SAP المشبوهين في حالة هجوم التلاعب بالعملية المالية.

تتوفر قدرات تعطيل الهجوم ل SAP في مدخل Defender فقط. لاستخدام تعطيل الهجوم ل SAP، قم بتحديث إصدار عامل موصل البيانات وتأكد من تعيين دور Azure ذي الصلة إلى هوية العامل الخاص بك.

لمزيد من المعلومات، راجع تعطيل الهجوم التلقائي ل SAP (معاينة).
الكيانات الموحدة تعرض صفحات الكيان للأجهزة والمستخدمين وعناوين IP وموارد Azure في مدخل Defender معلومات من مصادر بيانات Microsoft Sentinel وDefender. تمنحك صفحات الكيان هذه سياقا موسعا لتحقيقاتك في الحوادث والتنبيهات في مدخل Defender.

لمزيد من المعلومات، راجع التحقيق في الكيانات ذات صفحات الكيان في Microsoft Sentinel.
الحوادث الموحدة إدارة الحوادث الأمنية والتحقيق فيها في موقع واحد ومن قائمة انتظار واحدة في مدخل Defender. وتشمل الحوادث ما يلي:
- بيانات من اتساع المصادر
- الذكاء الاصطناعي أدوات التحليلات لمعلومات الأمان وإدارة الأحداث (SIEM)
- أدوات السياق والتخفيف التي يوفرها الكشف والاستجابة الموسعة (XDR)

لمزيد من المعلومات، راجع الاستجابة للحوادث في مدخل Microsoft Defender.

اختلافات القدرة بين المداخل

تتوفر معظم قدرات Microsoft Sentinel في كل من مداخل Azure وDefender. في مدخل Defender، تفتح بعض تجارب Microsoft Sentinel على مدخل Microsoft Azure لإكمال مهمة.

يغطي هذا القسم قدرات Microsoft Sentinel أو عمليات التكامل في النظام الأساسي لعمليات الأمان الموحدة المتوفرة فقط في مدخل Microsoft Azure أو مدخل Defender أو الاختلافات الهامة الأخرى بين المداخل. يستثني تجارب Microsoft Sentinel التي تفتح مدخل Microsoft Azure من مدخل Defender.

الإمكانية التوافر ‏‏الوصف
التتبع المتقدم باستخدام الإشارات المرجعية مدخل Azure فقط الإشارات المرجعية غير مدعومة في تجربة التتبع المتقدمة في مدخل Microsoft Defender. في مدخل Defender، يتم دعمها في Microsoft Sentinel > Threat management > Hunting.

لمزيد من المعلومات، راجع تعقب البيانات أثناء التتبع باستخدام Microsoft Sentinel.
تعطيل الهجوم ل SAP مدخل Defender فقط هذه الوظيفة غير متوفرة في مدخل Microsoft Azure.

لمزيد من المعلومات، راجع تعطيل الهجوم التلقائي في مدخل Microsoft Defender.
Automation تتوفر بعض إجراءات التنفيذ التلقائي فقط في مدخل Microsoft Azure.

إجراءات التنفيذ التلقائي الأخرى هي نفسها في مداخل Defender وAzure، ولكنها تختلف في مدخل Azure بين مساحات العمل التي تم إلحاقها بالنظام الأساسي لعمليات الأمان الموحدة ومساحات العمل غير الموجودة.

لمزيد من المعلومات، راجع التنفيذ التلقائي مع النظام الأساسي لعمليات الأمان الموحدة.
موصلات البيانات: رؤية الموصلات المستخدمة من قبل النظام الأساسي لعمليات الأمان الموحدة مدخل Azure فقط في مدخل Defender، بعد إلحاق Microsoft Sentinel، لا تظهر موصلات البيانات التالية التي تعد جزءا من النظام الأساسي لعمليات الأمان الموحدة في صفحة موصلات البيانات:
  • تطبيقات Microsoft Defender للسحابة
  • Microsoft Defender لنقطة النهاية
  • Microsoft Defender for Identity
  • Microsoft Defender لـ Office 365 (معاينة)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud المستند إلى الاشتراك (قديم)
  • Microsoft Defender for Cloud المستند إلى المستأجر (معاينة)

    في مدخل Microsoft Azure، لا تزال موصلات البيانات هذه مدرجة مع موصلات البيانات المثبتة في Microsoft Sentinel.
    		•
    الكيانات: إضافة كيانات إلى التحليل الذكي للمخاطر من الحوادث مدخل Azure فقط هذه الوظيفة غير متوفرة في النظام الأساسي لعمليات الأمان الموحدة.

    لمزيد من المعلومات، راجع إضافة كيان إلى مؤشرات التهديد.
    الاندماج: الكشف المتقدم عن الهجمات متعددة المهام مدخل Azure فقط يتم تعطيل قاعدة تحليلات الاندماج، التي تنشئ حوادث استنادا إلى ارتباطات التنبيه التي أجراها محرك ارتباط Fusion، عند إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة.

    يستخدم النظام الأساسي لعمليات الأمان الموحدة وظائف إنشاء الحوادث والارتباط الخاصة ب Microsoft Defender XDR لاستبدال وظائف محرك Fusion.

    لمزيد من المعلومات، راجع الكشف المتقدم عن الهجمات متعددة المهام في Microsoft Sentinel
    الحوادث: إضافة تنبيهات إلى الحوادث /
    إزالة التنبيهات من الحوادث    		 مدخل Defender فقط بعد إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، لم يعد بإمكانك إضافة تنبيهات إلى الحوادث في مدخل Microsoft Azure أو إزالتها منها.

    يمكنك إزالة تنبيه من حدث في مدخل Defender، ولكن فقط عن طريق ربط التنبيه بحادث آخر (موجود أو جديد).
    الحوادث: تحرير التعليقات مدخل Azure فقط بعد إلحاق Microsoft Sentinel بالنظام الأساسي لعمليات الأمان الموحدة، يمكنك إضافة تعليقات إلى الحوادث في أي من المدخلين، ولكن لا يمكنك تحرير التعليقات الموجودة.

    لا تتم مزامنة عمليات التحرير التي تم إجراؤها على التعليقات في مدخل Microsoft Azure مع النظام الأساسي لعمليات الأمان الموحدة.
    الحوادث: الإنشاء البرمجي واليدوي للحوادث مدخل Azure فقط لا تتم مزامنة الحوادث التي تم إنشاؤها في Microsoft Sentinel من خلال واجهة برمجة التطبيقات أو من خلال دليل مبادئ Logic App أو يدويا من مدخل Microsoft Azure إلى النظام الأساسي لعمليات الأمان الموحدة. لا تزال هذه الحوادث مدعومة في مدخل Microsoft Azure وواجهة برمجة التطبيقات. راجع إنشاء الحوادث الخاصة بك يدويا في Microsoft Sentinel.
    الحوادث: إعادة فتح الحوادث المغلقة مدخل Azure فقط في النظام الأساسي لعمليات الأمان الموحدة، لا يمكنك تعيين تجميع التنبيهات في قواعد تحليلات Microsoft Sentinel لإعادة فتح الحوادث المغلقة إذا تمت إضافة تنبيهات جديدة.
    لا يعاد فتح الحوادث المغلقة في هذه الحالة، وتشغل التنبيهات الجديدة حوادث جديدة.
    الحوادث: المهام مدخل Azure فقط المهام غير متوفرة في النظام الأساسي لعمليات الأمان الموحدة.

    لمزيد من المعلومات، راجع استخدام المهام لإدارة الحوادث في Microsoft Sentinel.

    مرجع سريع

    يتم دمج بعض قدرات Microsoft Sentinel، مثل قائمة انتظار الحوادث الموحدة، مع Microsoft Defender XDR في النظام الأساسي لعمليات الأمان الموحدة. تتوفر العديد من قدرات Microsoft Sentinel الأخرى في قسم Microsoft Sentinel في مدخل Defender.

    تظهر الصورة التالية قائمة Microsoft Sentinel في مدخل Defender:

    لقطة شاشة لمدخل Defender للتنقل الأيسر مع قسم Microsoft Sentinel.

    تصف الأقسام التالية مكان العثور على ميزات Microsoft Sentinel في مدخل Defender. يتم تنظيم الأقسام حيث يوجد Microsoft Sentinel في مدخل Microsoft Azure.

    عام

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender للقسم عام في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    نظرة عامة نظرة عامة
    السجلات البحث والاستجابة > التتبع > المتقدم
    الأخبار والأدلة غير متوفرة
    بحث بحث Microsoft Sentinel >

    إدارة التهديدات

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender لقسم إدارة المخاطر في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    الحوادث التحقيق والاستجابة > لحوادث التنبيهات >
    مصنفات مصنفات إدارة> المخاطر في Microsoft Sentinel >
    التتبع تتبع إدارة > المخاطر في Microsoft Sentinel >
    دفاتر الملاحظات دفاتر ملاحظات إدارة > المخاطر في Microsoft Sentinel >
    سلوك الكيان صفحة كيان المستخدم: هويات> الأصول > {user}> أحداث Sentinel
    صفحة كيان الجهاز: أجهزة الأصول >>{device}> أحداث Sentinel

    ابحث أيضا عن صفحات الكيان لأنواع كيان المستخدم والجهاز وIP وAzure من الحوادث والتنبيهات كما تظهر.
    تحليل ذكي للمخاطر تحليل ذكي للمخاطر لإدارة > المخاطر في Microsoft Sentinel >
    MITRE ATT CK إدارة > المخاطر في Microsoft Sentinel > MITRE ATT CK

    إدارة المحتوى

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender لقسم إدارة المحتوى في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    مركز المحتوى مركز محتوى إدارة > محتوى Microsoft Sentinel >
    المستودعات مستودعات إدارة > محتوى Microsoft Sentinel >
    المجتمع مجتمع إدارة > محتوى Microsoft Sentinel >

    التكوين

    يسرد الجدول التالي التغييرات في التنقل بين مداخل Azure وDefender لقسم التكوين في مدخل Microsoft Azure.

    مدخل Azure مدخل Defender
    مدير مساحة العمل غير متوفرة
    موصلات البيانات موصلات بيانات تكوين > Microsoft Sentinel >
    التحليلات تحليلات تكوين > Microsoft Sentinel >
    قوائم المشاهدة قوائم مراقبة تكوين > Microsoft Sentinel >
    Automation أتمتة تكوين > Microsoft Sentinel >
    إعدادات النظام > الإعدادات > Microsoft Sentinel

    المحتوى ذو الصلة