ملاحظة
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتوفر Microsoft Sentinel في مدخل Microsoft Defender مع Microsoft Defender XDR أو من تلقاء نفسه. يوفر تجربة موحدة عبر SIEM وXDR للكشف عن التهديدات والاستجابة لها بشكل أسرع وأكثر دقة، وسير عمل أبسط، وكفاءة تشغيلية أفضل.
توضح هذه المقالة كيفية نقل تجربة Microsoft Sentinel من مدخل Microsoft Azure إلى مدخل Defender. إذا كنت تستخدم Microsoft Sentinel في مدخل Microsoft Azure، فانتقل إلى Microsoft Defender لعمليات الأمان الموحدة وأحدث الميزات. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender أو شاهد قائمة تشغيل YouTube.
المتطلبات الأساسية
قبل البدء، لاحظ:
- هذه المقالة مخصصة للعملاء الذين لديهم مساحة عمل موجودة ممكنة ل Microsoft Sentinel الذين يرغبون في نقل تجربة Microsoft Sentinel الخاصة بهم إلى مدخل Defender. إذا كنت عميلا جديدا، فشاهد النشر لعمليات الأمان الموحدة في مدخل Defender لمعرفة كيفية إنشاء مساحة عمل جديدة ل Microsoft Sentinel في مدخل Defender.
- عندما يكون ذلك مناسبا، تكون المتطلبات الأساسية التفصيلية في المقالات المرتبطة لكل خطوة.
- تحتوي بعض ميزات Microsoft Sentinel على مواقع جديدة في مدخل Defender. لمزيد من المعلومات، راجع مرجع سريع.
تخطيط بيئة الانتقال وإعدادها
الجمهور: مهندسو الأمان
مقاطع الفيديو:
- إلحاق مساحة عمل Microsoft Sentinel في Microsoft Defender
- إدارة التحكم في الوصول استنادا إلى الدور الموحد في Microsoft Defender
مراجعة إرشادات التخطيط والمتطلبات الأساسية الكاملة والإلحاق
راجع جميع إرشادات التخطيط وأكمل جميع المتطلبات الأساسية قبل إلحاق مساحة العمل الخاصة بك إلى مدخل Defender. لمزيد من المعلومات، راجع المقالات التالية:
النشر لعمليات الأمان الموحدة في مدخل Defender. في حين أن هذه المقالة مخصصة للعملاء الجدد الذين ليس لديهم مساحة عمل ل Microsoft Sentinel أو خدمات أخرى تم إلحاقها إلى مدخل Defender، استخدمها كمرجع إذا كنت تنتقل إلى مدخل Defender.
قم بتوصيل Microsoft Sentinel بمدخل Defender. تسرد هذه المقالة المتطلبات الأساسية لإلحاق مساحة العمل الخاصة بك إلى مدخل Defender. إذا كنت تخطط لاستخدام Microsoft Sentinel بدون Defender XDR، فستحتاج إلى اتخاذ خطوة إضافية لتشغيل الاتصال بين Microsoft Sentinel ومدخل Defender.
مراجعة الاختلافات لتخزين البيانات والخصوصية
عند استخدام مدخل Microsoft Azure، يتم تطبيق نهج Microsoft Sentinel لتخزين البيانات ومعالجتها واستبقاءها ومشاركتها. عند استخدام مدخل Defender، يتم تطبيق نهج Microsoft Defender XDR بدلا من ذلك، حتى عند العمل مع بيانات Microsoft Sentinel.
يوفر الجدول التالي تفاصيل وارتباطات إضافية بحيث يمكنك مقارنة التجارب عبر مداخل Azure وDefender.
| مجال الدعم | مدخل Azure | مدخل Defender |
|---|---|---|
| BCDR | العملاء مسؤولون عن نسخ بياناتهم نسخا متماثلا | يستخدم Microsoft Defender الأتمتة ل BCDR في أجزاء التحكم. |
| تخزين البيانات ومعالجتها |
-
موقع تخزين البيانات - المناطق المدعومة |
موقع تخزين البيانات |
| استبقاء البيانات | استبقاء البيانات | استبقاء البيانات |
| مشاركة البيانات | مشاركة البيانات | مشاركة البيانات |
لمزيد من المعلومات، راجع:
- التوفر الجغرافي وإقامة البيانات في Microsoft Sentinel
- أمان البيانات واستبقاءها في Microsoft Defender XDR
تكوين مساحة عمل متعددة وإدارة متعددة المستأجرين
يدعم Defender مساحة عمل واحدة أو أكثر عبر العديد من المستأجرين من خلال المدخل متعدد المستأجرين، والذي يعمل كمكان مركزي لإدارة الحوادث والتنبيهات، والبحث عن التهديدات عبر المستأجرين، ويسمح لشركاء خدمة الأمان المدارة (MSSPs) برؤية جميع العملاء.
في سيناريوهات مساحات العمل المتعددة، يتيح لك المدخل متعدد المستأجرين توصيل مساحة عمل أساسية واحدة ومساحات عمل ثانوية متعددة لكل مستأجر. إلحاق كل مساحة عمل إلى مدخل Defender بشكل منفصل لكل مستأجر، تماما مثل الإلحاق لمستأجر واحد.
لمزيد من المعلومات، راجع:
وثائق Azure Lighthouse. يتيح لك Azure Lighthouse استخدام بيانات Microsoft Sentinel من المستأجرين الآخرين عبر مساحات العمل المإلحاقة. على سبيل المثال، يمكنك تشغيل استعلامات عبر مساحة العمل مع
workspace()عامل التشغيل في قواعد التتبع والتحليلات المتقدمة.Microsoft Entra B2B. يتيح لك Microsoft Entra B2B الوصول إلى البيانات عبر المستأجرين. GDAP غير مدعوم لبيانات Microsoft Sentinel.
تكوين الإعدادات والمحتوى ومراجعتها
الجمهور: مهندسو الأمان
فيديو: إدارة الموصلات في Microsoft Defender
تأكيد وتكوين جمع البيانات
عندما يتم دمج Microsoft Sentinel مع Microsoft Defender، تظل البنية الأساسية لجمع البيانات وتدفق بيانات تتبع الاستخدام سليمة. تستمر الموصلات الموجودة التي تم تكوينها في Microsoft Sentinel، سواء لمنتجات Microsoft Defender أو مصادر البيانات الأخرى، في العمل دون انقطاع.
من منظور Log Analytics، لا يقدم تكامل Microsoft Sentinel في Microsoft Defender أي تغيير في مسار الاستيعاب الأساسي أو مخطط البيانات. على الرغم من توحيد الواجهة الأمامية، تظل الواجهة الخلفية ل Microsoft Sentinel متكاملة تماما مع Log Analytics لتخزين البيانات والبحث والارتباط.
التكامل مع Microsoft Defender for Cloud
- إذا كنت تستخدم موصل البيانات المستند إلى المستأجر ل Defender for Cloud، فتأكد من اتخاذ إجراء لمنع تكرار الأحداث والتنبيهات.
- إذا كنت تستخدم الموصل القديم المستند إلى الاشتراك بدلا من ذلك، فتأكد من إلغاء الاشتراك في مزامنة الحوادث والتنبيهات إلى Microsoft Defender.
لمزيد من المعلومات، راجع التنبيهات والحوادث في Microsoft Defender.
رؤية موصل البيانات في مدخل Defender
بعد إعداد مساحة العمل الخاصة بك إلى Defender، يتم استخدام موصلات البيانات التالية لعمليات الأمان الموحدة ولا تظهر في صفحة موصلات البيانات في مدخل Defender:
- تطبيقات Microsoft Defender للسحابة
- Microsoft Defender لنقطة النهاية
- Microsoft Defender للهوية
- Microsoft Defender لـ Office 365 (معاينة)
- Microsoft Defender XDR
- Microsoft Defender for Cloud المستند إلى الاشتراك (قديم)
- Microsoft Defender for Cloud المستند إلى المستأجر (معاينة)
تستمر موصلات البيانات هذه في إدراجها في Microsoft Sentinel في مدخل Microsoft Azure.
تكوين النظام البيئي الخاص بك
في حين أن إدارة مساحة العمل الخاصة ب Microsoft Sentinel غير متوفرة في مدخل Defender، استخدم إحدى الإمكانات البديلة التالية لتوزيع المحتوى كتعلم برمجي عبر مساحات العمل:
نشر المحتوى كتعلم برمجي من المستودع الخاص بك (معاينة عامة). استخدم ملفات YAML أو JSON في GitHub أو Azure DevOps لإدارة التكوينات ونشرها عبر Microsoft Sentinel وDefender باستخدام مهام سير عمل CI/CD الموحدة.
مدخل متعدد المستأجرين. يدعم مدخل Microsoft Defender متعدد المستأجرين إدارة المحتوى وتوزيعه عبر مستأجرين متعددين.
وإلا، فتابع نشر حزم الحلول التي تتضمن أنواعا مختلفة من محتوى الأمان من مركز المحتوى في مدخل Defender. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.
تكوين قواعد التحليلات
تتوفر قواعد تحليلات Microsoft Sentinel في مدخل Defender للكشف والتكوين والإدارة. تظل وظائف قواعد التحليلات كما هي، بما في ذلك الإنشاء والتحديث والإدارة من خلال المعالج والمستودعات وواجهة برمجة تطبيقات Microsoft Sentinel. يستمر أيضا ارتباط الحادث والكشف عن الهجمات متعددة المراحل في العمل في مدخل Defender. تتم معالجة وظيفة ارتباط التنبيه التي تديرها قاعدة تحليلات الاندماج في مدخل Azure بواسطة محرك Defender XDR في مدخل Defender، والذي يدمج جميع الإشارات في مكان واحد.
عند الانتقال إلى مدخل Defender، من المهم ملاحظة التغييرات التالية:
| ميزة | وصف |
|---|---|
| قواعد الكشف المخصصة | إذا كانت لديك حالات استخدام الكشف التي تتضمن بيانات Defender XDR وMicrosoft Sentinel، حيث لا تحتاج إلى الاحتفاظ ببيانات Defender XDR لأكثر من 30 يوما، نوصي بإنشاء قواعد الكشف المخصصة التي تستعلم عن البيانات من كل من جداول Microsoft Sentinel وDefender XDR. يتم دعم هذا دون الحاجة إلى استيعاب بيانات Defender XDR في Microsoft Sentinel. لمزيد من المعلومات، راجع استخدام وظائف Microsoft Sentinel المخصصة في التتبع المتقدم في Microsoft Defender. |
| ارتباط التنبيه | في مدخل Defender، يتم تطبيق الارتباطات تلقائيا على التنبيهات ضد كل من بيانات Microsoft Defender وبيانات الجهات الخارجية التي تم تناولها من Microsoft Sentinel، بغض النظر عن سيناريوهات التنبيه. المعايير المستخدمة لربط التنبيهات معا في حادث واحد هي جزء من منطق الارتباط الداخلي الخاص بمدخل Defender. لمزيد من المعلومات، راجع ارتباط التنبيه ودمج الحادث في مدخل Defender. |
| تجميع التنبيهات ودمج الحوادث | بينما ستظل ترى تكوين تجميع التنبيه في قواعد التحليلات، يتحكم محرك ارتباط Defender XDR بشكل كامل في تجميع التنبيه ودمج الحوادث عند الضرورة في مدخل Defender. وهذا يضمن رؤية شاملة لقصة الهجوم الكامل من خلال تجميع التنبيهات ذات الصلة للهجمات متعددة المراحل. على سبيل المثال، قد تؤدي قواعد تحليلات فردية متعددة تم تكوينها لإنشاء حدث لكل تنبيه إلى حوادث مدمجة إذا تطابقت مع منطق ارتباط Defender XDR. |
| رؤية التنبيه | إذا تم تكوين قواعد تحليلات Microsoft Sentinel لتشغيل التنبيهات فقط، مع إيقاف تشغيل إنشاء الحدث، فلن تكون هذه التنبيهات مرئية في مدخل Defender. ومع ذلك، بينما لا يتعرف محرر استعلام التتبع المتقدم على SecurityAlerts مخطط الجدول، لا يزال بإمكانك استخدام الجدول في الاستعلامات وقواعد التحليلات. |
| ضبط التنبيه | بمجرد إلحاق مساحة عمل Microsoft Sentinel ب Defender، يتم إنشاء جميع الحوادث، بما في ذلك تلك من قواعد تحليلات Microsoft Sentinel، بواسطة محرك Defender XDR. ونتيجة لذلك، يمكن الآن تطبيق قدرات ضبط التنبيه في مدخل Defender، التي كانت متوفرة سابقا فقط لتنبيهات Defender XDR، على التنبيهات من Microsoft Sentinel. تسمح لك هذه الميزة بتبسيط الاستجابة للحوادث من خلال أتمتة حل التنبيهات الشائعة، والحد من الإيجابيات الزائفة، وتقليل الضوضاء، حتى يتمكن المحللون من تحديد أولويات الحوادث الأمنية الهامة. |
| الاندماج: الكشف المتقدم عن الهجمات متعددة الولايات | يتم تعطيل قاعدة تحليلات الاندماج، التي في مدخل Microsoft Azure، الحوادث استنادا إلى ارتباطات التنبيه التي أجراها محرك ارتباط Fusion، عند إلحاق Microsoft Sentinel بمدخل Defender. لا تفقد وظيفة ارتباط التنبيه لأن مدخل Defender يستخدم وظائف إنشاء الحوادث والارتباط في Microsoft Defender لاستبدال وظائف محرك Fusion. لمزيد من المعلومات، راجع الكشف المتقدم عن الهجمات متعددة المهام في Microsoft Sentinel |
تكوين قواعد التشغيل التلقائي ودلائل المبادئ
في Microsoft Sentinel، تستند أدلة المبادئ إلى مهام سير العمل المضمنة في Azure Logic Apps، وهي خدمة سحابية تساعدك على جدولة المهام ومهام سير العمل وأتمتتها وتنسيقها عبر الأنظمة في جميع أنحاء المؤسسة.
تنطبق القيود التالية على قواعد التشغيل التلقائي ل Microsoft Sentinel ودلائل المبادئ عند العمل في مدخل Defender. قد تحتاج إلى إجراء بعض التغييرات في البيئة الخاصة بك عند إجراء الانتقال.
| الدالات | وصف |
|---|---|
| قواعد التنفيذ التلقائي مع مشغلات التنبيه | في مدخل Defender، تعمل قواعد الأتمتة مع مشغلات التنبيه فقط على تنبيهات Microsoft Sentinel. لمزيد من المعلومات، راجع مشغل إنشاء التنبيه. |
| قواعد التنفيذ التلقائي مع مشغلات الحوادث | في كل من مدخل Microsoft Azure ومدخل Defender، تتم إزالة خاصية شرط موفر الحدث ، حيث تحتوي جميع الحوادث على Microsoft XDR كموفر الحدث (القيمة في حقل ProviderName ). عند هذه النقطة، يتم تشغيل أي قواعد أتمتة موجودة على كل من أحداث Microsoft Sentinel وMicrosoft Defender XDR، بما في ذلك تلك التي يتم فيها تعيين شرط موفر الحوادث إلى Microsoft Sentinel أو Microsoft 365 Defender فقط. ومع ذلك، تعمل قواعد التنفيذ التلقائي التي تحدد اسم قاعدة تحليلات محددة فقط على الحوادث التي تحتوي على تنبيهات تم إنشاؤها بواسطة قاعدة التحليلات المحددة. وهذا يعني أنه يمكنك تعريف خاصية شرط اسم القاعدة التحليلية إلى قاعدة تحليلات موجودة فقط في Microsoft Sentinel للحد من تشغيل القاعدة الخاصة بك على الحوادث فقط في Microsoft Sentinel. لمزيد من المعلومات، راجع شروط مشغل الحادث. |
| زمن الانتقال في مشغلات دليل المبادئ | قد يستغرق ظهور أحداث Microsoft Defender في Microsoft Sentinel ما يصل إلى 5 دقائق. إذا كان هذا التأخير موجودا، يتم تأخير تشغيل دليل المبادئ أيضا. |
| التغييرات في أسماء الحوادث الموجودة | يستخدم مدخل Defender محركا فريدا لربط الحوادث والتنبيهات. عند إلحاق مساحة العمل الخاصة بك إلى مدخل Defender، قد يتم تغيير أسماء الحوادث الموجودة إذا تم تطبيق الارتباط. للتأكد من أن قواعد التشغيل التلقائي الخاصة بك تعمل دائما بشكل صحيح، نوصي بالتالي بتجنب استخدام عناوين الحوادث كمعاييي شرط في قواعد التنفيذ التلقائي، واقتراح بدلا من ذلك استخدام اسم أي قاعدة تحليلات أنشأت تنبيهات مضمنة في الحدث، والعلامات إذا كانت هناك حاجة إلى مزيد من التحديد. |
| تم التحديث حسب الحقل | لمزيد من المعلومات، راجع مشغل تحديث الحدث. |
| قواعد التنفيذ التلقائي التي تضيف مهام الحوادث | إذا أضافت قاعدة التنفيذ التلقائي مهمة حدث، يتم عرض المهمة فقط في مدخل Microsoft Azure. |
| إنشاء قواعد التشغيل التلقائي مباشرة من حادث | يتم دعم إنشاء قواعد الأتمتة مباشرة من حادث في مدخل Microsoft Azure فقط. إذا كنت تعمل في مدخل Defender، فبادر بإنشاء قواعد التشغيل التلقائي من البداية من صفحة التنفيذ التلقائي . |
| قواعد إنشاء حدث Microsoft | قواعد إنشاء حدث Microsoft غير مدعومة في مدخل Defender. لمزيد من المعلومات، راجع أحداث Microsoft Defender XDR وقواعد إنشاء أحداث Microsoft. |
| تشغيل قواعد الأتمتة من مدخل Defender | قد يستغرق الأمر ما يصل إلى 10 دقائق من وقت تشغيل تنبيه وإنشاء حدث أو تحديثه في مدخل Defender إلى وقت تشغيل قاعدة التنفيذ التلقائي. يرجع هذا التأخير الزمني إلى إنشاء الحدث في مدخل Defender ثم إعادة توجيهه إلى Microsoft Sentinel لقاعدة التنفيذ التلقائي. |
| علامة تبويب أدلة المبادئ النشطة | بعد الإلحاق بمدخل Defender، تعرض علامة التبويب أدلة المبادئ النشطة بشكل افتراضي عامل تصفية معرف مسبقا مع اشتراك مساحة العمل المضمنة. في مدخل Microsoft Azure، أضف بيانات للاشتراكات الأخرى باستخدام عامل تصفية الاشتراك. لمزيد من المعلومات، راجع إنشاء أدلة مبادئ Microsoft Sentinel وتخصيصها من القوالب. |
| تشغيل أدلة المبادئ يدويا عند الطلب | الإجراءات التالية غير مدعومة حاليا في مدخل Defender: |
| يتطلب تشغيل أدلة المبادئ على الحوادث مزامنة Microsoft Sentinel | إذا حاولت تشغيل دليل مبادئ على حدث من مدخل Defender وشاهدت الرسالة "لا يمكن الوصول إلى البيانات المتعلقة بهذا الإجراء. قم بتحديث الشاشة في بضع دقائق." الرسالة، فهذا يعني أن الحدث لم تتم مزامنته بعد مع Microsoft Sentinel. قم بتحديث صفحة الحدث بعد مزامنة الحدث لتشغيل دليل المبادئ بنجاح. |
|
الحوادث: إضافة تنبيهات إلى الحوادث / إزالة التنبيهات من الحوادث |
نظرا لأن إضافة التنبيهات إلى التنبيهات أو إزالتها من الحوادث غير مدعومة بعد إلحاق مساحة العمل الخاصة بك إلى مدخل Defender، فإن هذه الإجراءات غير مدعومة أيضا من داخل أدلة المبادئ. لمزيد من المعلومات، راجع فهم كيفية ربط التنبيهات ودمج الحوادث في مدخل Defender. |
| تكامل Microsoft Defender XDR في مساحات عمل متعددة | إذا قمت بدمج بيانات XDR مع أكثر من مساحة عمل واحدة في مستأجر واحد، الآن استيعاب البيانات فقط في مساحة العمل الأساسية في مدخل Defender. نقل قواعد الأتمتة إلى مساحة العمل ذات الصلة للحفاظ على تشغيلها. |
| الأتمتة ومحرك الارتباط | قد يجمع محرك الارتباط بين التنبيهات من إشارات متعددة في حدث واحد، ما قد يؤدي إلى تلقي الأتمتة للبيانات التي لم تتوقعها. نوصي بمراجعة قواعد التشغيل التلقائي للتأكد من رؤية النتائج المتوقعة. |
تكوين واجهات برمجة التطبيقات
تقدم التجربة الموحدة في مدخل Defender تغييرات ملحوظة على الحوادث والتنبيهات من واجهات برمجة التطبيقات. وهو يدعم استدعاءات واجهة برمجة التطبيقات استنادا إلى Microsoft Graph REST API v1.0، والتي يمكن استخدامها للأتمتة المتعلقة بالتنبيهات والحوادث والتتبع المتقدم والمزيد.
تستمر واجهة برمجة تطبيقات Microsoft Sentinel في دعم الإجراءات ضد موارد Microsoft Sentinel، مثل قواعد التحليلات وقواعد الأتمتة والمزيد. للتفاعل مع الحوادث والتنبيهات الموحدة، نوصي باستخدام Microsoft Graph REST API.
إذا كنت تستخدم واجهة برمجة تطبيقات Microsoft Sentinel SecurityInsights للتفاعل مع حوادث Microsoft Sentinel، فقد تحتاج إلى تحديث شروط التشغيل التلقائي ومعايير التشغيل بسبب التغييرات في نص الاستجابة.
يسرد الجدول التالي الحقول المهمة في قصاصات الاستجابة، ويقارنها عبر مداخل Azure وDefender:
| الدالات | مدخل Azure | مدخل Defender |
|---|---|---|
| ارتباط بالحادث |
incidentUrl: عنوان URL المباشر للحادث في مدخل Microsoft Sentinel |
providerIncidentUrl : يوفر هذا الحقل الإضافي ارتباطا مباشرا بالحادث، والذي يمكن استخدامه لمزامنة هذه المعلومات مع نظام إصدار التذاكر التابع لجهة خارجية مثل ServiceNow. incidentUrl لا يزال متوفرا، ولكنه يشير إلى مدخل Microsoft Sentinel. |
| المصادر التي أدت إلى الكشف ونشرت التنبيه | alertProductNames |
alertProductNames: يتطلب إضافة ?$expand=alerts إلى GET. على سبيل المثال، https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| اسم موفر التنبيه |
providerName = "Azure Sentinel" |
providerName = "Microsoft XDR" |
| الخدمة أو المنتج الذي أنشأ التنبيه | غير موجود في مدخل Microsoft Azure | serviceSource على سبيل المثال، "microsoftDefenderForCloudApps" |
| تقنية الكشف أو المستشعر الذي حدد المكون أو النشاط الملحوظ | غير موجود في مدخل Microsoft Azure |
detectionSource على سبيل المثال، "cloudAppSecurity" |
| اسم المنتج الذي نشر هذا التنبيه | غير موجود في مدخل Microsoft Azure |
productName على سبيل المثال، "Microsoft Defender for Cloud Apps" |
تشغيل العمليات في مدخل Defender
الجمهور: محللو الأمان
مقاطع الفيديو:
- اكتشاف محتوى Microsoft Sentinel وتحليل ذكي للمخاطر وإدارته في Microsoft Defender
- إنشاء الأتمتة والمصنفات في Microsoft Defender
- ارتباط التنبيه في Microsoft Defender
- التحقيق في الحادث في Microsoft Defender
- إدارة الحالة في Microsft Defender
- التتبع المتقدم في Microsoft Defender
- تحسينات SOC في Microsoft Defender
تحديث عمليات فرز الحوادث لمدخل Defender
إذا كنت قد استخدمت Microsoft Sentinel في مدخل Microsoft Azure، فستلاحظ تحسينات كبيرة في تجربة المستخدم في مدخل Defender. في حين أنك قد تحتاج إلى تحديث عمليات SOC وإعادة تدريب المحللين، فإن التصميم يدمج جميع المعلومات ذات الصلة في مكان واحد لتوفير مهام سير عمل أكثر بساطة وكفاءة.
تقوم قائمة انتظار الحوادث الموحدة في مدخل Defender بدمج جميع الحوادث عبر المنتجات في طريقة عرض واحدة، مما يؤثر على كيفية فرز المحللين للحوادث التي تحتوي الآن على تنبيهات متعددة عبر المجالات الأمنية. على سبيل المثال:
- تقليديا، يقوم المحللون بفرز الحوادث استنادا إلى مجالات أو خبرة أمنية محددة، وغالبا ما يتعاملون مع التذاكر لكل كيان، مثل المستخدم أو المضيف. ويمكن لهذا النهج أن يخلق نقاطا عمياء، تهدف التجربة الموحدة إلى معالجتها.
- عندما يتحرك المهاجم أفقيا، قد ينتهي الأمر بالتنبيهات ذات الصلة في حوادث منفصلة بسبب مجالات أمان مختلفة. تقضي التجربة الموحدة على هذه المشكلة من خلال توفير رؤية شاملة، وضمان ربط جميع التنبيهات ذات الصلة وإدارتها بشكل متماسك.
يمكن للمحللين أيضا عرض مصادر الكشف وأسماء المنتجات في مدخل Defender، وتطبيق عوامل التصفية ومشاركتها للحصول على فرز أكثر كفاءة للحوادث والتنبيه.
يمكن أن تساعد عملية الفرز الموحدة في تقليل أحمال عمل المحللين وحتى من المحتمل أن تجمع بين أدوار محللي المستوى 1 والمستوى 2. ومع ذلك، يمكن أن تتطلب عملية الفرز الموحدة أيضا معرفة محلل أوسع وأعمق. نوصي بالتدريب على واجهة المدخل الجديدة لضمان انتقال سلس.
لمزيد من المعلومات، راجع الحوادث والتنبيهات في مدخل Microsoft Defender.
فهم كيفية ربط التنبيهات ودمج الحوادث في مدخل Defender
يدمج محرك الارتباط الخاص ب Defender الحوادث عندما يتعرف على العناصر الشائعة بين التنبيهات في حوادث منفصلة. عندما يفي تنبيه جديد بمعايير الارتباط، يقوم Microsoft Defender بتجميعه وربطه بالتنبيهات الأخرى ذات الصلة من جميع مصادر الكشف إلى حادث جديد. بعد إلحاق Microsoft Sentinel ببوابة Defender، تكشف قائمة انتظار الحوادث الموحدة عن هجوم أكثر شمولا، ما يجعل المحللين أكثر كفاءة ويوفرون قصة هجوم كاملة.
في سيناريوهات مساحات العمل المتعددة، ترتبط التنبيهات من مساحة عمل أساسية فقط ببيانات Microsoft Defender XDR. هناك أيضا سيناريوهات محددة لا يتم فيها دمج الحوادث.
بعد إلحاق Microsoft Sentinel إلى مدخل Defender، تنطبق التغييرات التالية على الحوادث والتنبيهات:
| ميزة | وصف |
|---|---|
| التأخير بعد إلحاق مساحة العمل الخاصة بك | قد يستغرق تكامل أحداث Microsoft Defender بشكل كامل مع Microsoft Sentinel ما يصل إلى 5 دقائق. لا يؤثر هذا على الميزات التي يوفرها Microsoft Defender مباشرة، مثل تعطيل الهجوم التلقائي. |
| قواعد إنشاء الحوادث الأمنية | يتم إلغاء تنشيط أي قواعد نشطة لإنشاء أحداث أمان Microsoft لتجنب إنشاء حوادث مكررة. تظل إعدادات إنشاء الحدث في أنواع أخرى من قواعد التحليلات كما هي، وهي قابلة للتكوين في مدخل Defender. |
| اسم موفر الحدث | في مدخل Defender، اسم موفر الحدث هو دائما Microsoft XDR. |
| إضافة / إزالة التنبيهات من الحوادث | لا يتم دعم إضافة تنبيهات Microsoft Sentinel أو إزالتها من أو إلى الحوادث إلا في مدخل Defender. لإزالة تنبيه من حدث في مدخل Defender، يجب إضافة التنبيه إلى حدث آخر. |
| تحرير التعليقات | أضف تعليقات إلى الحوادث في مدخل Defender أو Azure، ولكن تحرير التعليقات الموجودة غير مدعوم في مدخل Defender. لا تتم مزامنة عمليات التحرير التي تم إجراؤها على التعليقات في مدخل Microsoft Azure مع مدخل Defender. |
| الإنشاء البرمجي واليدوي للحوادث | لا تتم مزامنة الحوادث التي تم إنشاؤها في Microsoft Sentinel من خلال واجهة برمجة التطبيقات، أو بواسطة دليل مبادئ Logic App، أو يدويا من مدخل Microsoft Azure، إلى مدخل Defender. لا تزال هذه الحوادث مدعومة في مدخل Microsoft Azure وواجهة برمجة التطبيقات. راجع إنشاء الحوادث الخاصة بك يدويا في Microsoft Sentinel. |
| إعادة فتح الحوادث المغلقة | في مدخل Defender، لا يمكنك تعيين تجميع التنبيهات في قواعد تحليلات Microsoft Sentinel لإعادة فتح الحوادث المغلقة إذا تمت إضافة تنبيهات جديدة. لا يعاد فتح الحوادث المغلقة في هذه الحالة، وتشغل التنبيهات الجديدة حوادث جديدة. |
| المهام | مهام الحدث غير متوفرة في مدخل Defender. لمزيد من المعلومات، راجع استخدام المهام لإدارة الحوادث في Microsoft Sentinel. |
لمزيد من المعلومات، راجع الحوادث والتنبيهات في مدخل Microsoft Defenderوارتباط التنبيه ودمج الحوادث في مدخل Microsoft Defender.
لاحظ التغييرات في التحقيقات باستخدام التتبع المتقدم
بعد إلحاق Microsoft Sentinel بمدخل Defender، قم بالوصول إلى جميع استعلامات ووظائف لغة استعلام Kusto (KQL) الموجودة واستخدامها في صفحة التتبع المتقدم .
توجد بعض الاختلافات، مثل:
- الإشارات المرجعية غير معتمدة في التتبع المتقدم. بدلا من ذلك، يتم دعم الإشارات المرجعية في مدخل Defender ضمن تتبع إدارة > المخاطر في Microsoft Sentinel>.
- بينما لا يظهر جدول SecurityAlert في قائمةمخطط> المتقدم للجداول، فإنه لا يزال مدعوما في استعلاماتك.
لمزيد من المعلومات، راجع التتبع المتقدم باستخدام بيانات Microsoft Sentinel في Microsoft Defender، خاصة قائمة المشكلات المعروفة، وتعقب البيانات أثناء التتبع باستخدام Microsoft Sentinel.
التحقيق مع الكيانات في مدخل Defender
في مدخل Microsoft Defender، تكون الكيانات عادة إما أصولا، مثل الحسابات أو المضيفين أو علب البريد أو الأدلة، مثل عناوين IP أو الملفات أو عناوين URL.
بعد إلحاق Microsoft Sentinel بمدخل Defender، يتم دمج صفحات الكيان للمستخدمينوالأجهزة وعناوين IP في طريقة عرض واحدة مع عرض شامل لنشاط الكيان والسياق والبيانات من كل من Microsoft Sentinel وMicrosoft Defender XDR.
يوفر مدخل Defender أيضا شريط بحث عموميا يقوم بمركزية النتائج من جميع الكيانات بحيث يمكنك البحث عبر SIEM وXDR.
لمزيد من المعلومات، راجع صفحات الكيان في Microsoft Sentinel.
التحقيق مع UEBA في مدخل Defender
تظل معظم وظائف تحليلات سلوك المستخدم والكيان (UEBA) كما هي في مدخل Defender كما كانت في مدخل Microsoft Azure، مع الاستثناءات التالية:
يتم دعم إضافة كيانات إلى التحليل الذكي للمخاطر من الحوادث فقط في مدخل Microsoft Azure. لمزيد من المعلومات، راجع إضافة كيان إلى مؤشرات التهديد.
بعد إلحاق Microsoft Sentinel بمدخل Defender،
IdentityInfoيتضمن الجدول المستخدم في مدخل Defender حقولا موحدة من كل من Defender XDR وMicrosoft Sentinel. تتم إعادة تسمية بعض الحقول الموجودة عند استخدامها في مدخل Microsoft Azure في مدخل Defender، أو غير مدعومة على الإطلاق. نوصي بالتحقق من استعلاماتك بحثا عن أي مراجع لهذه الحقول وتحديثها حسب الحاجة. لمزيد من المعلومات، راجع جدول IdentityInfo.
تحديث عمليات التحقيق لاستخدام التحليل الذكي للمخاطر من Microsoft Defender
بالنسبة لعملاء Microsoft Sentinel الذين ينتقلون من مدخل Microsoft Azure إلى مدخل Defender، يتم الاحتفاظ بميزات التحليل الذكي للمخاطر المألوفة في مدخل Defender ضمن إدارة Intel، ويتم تحسينها مع ميزات التحليل الذكي للمخاطر الأخرى المتوفرة في مدخل Defender. تعتمد الميزات المدعومة على التراخيص المتوفرة لديك، مثل:
| ميزة | وصف |
|---|---|
| تحليلات المخاطر | مدعوم لعملاء Microsoft Defender XDR . حل داخل المنتج يقدمه باحثو الأمان في Microsoft، تم تصميمه لمساعدة فرق الأمان من خلال تقديم رؤى حول التهديدات الناشئة والتهديدات النشطة وتأثيراتها. يتم تقديم البيانات في لوحة معلومات بديهية مع بطاقات وصفوف من البيانات وعوامل التصفية والمزيد. |
| ملفات تعريف Intel | مدعوم لعملاء Microsoft Defender Threat Intelligence . تصنيف التهديدات والسلوكيات حسب ملف تعريف ممثل التهديد، مما يسهل تعقبها وربطها. تتضمن ملفات التعريف هذه أي مؤشرات للتسوية (IoC) تتعلق بالتكتيكات والتقنيات والأدوات المستخدمة في الهجمات. |
| Intel Explorer | مدعوم لعملاء Microsoft Defender Threat Intelligence . دمج IoCs المتوفرة وتوفير مقالات متعلقة بالتهديدات أثناء نشرها، ما يتيح لفرق الأمان البقاء على اطلاع على التهديدات الناشئة. |
| مشاريع Intel | مدعوم لعملاء Microsoft Defender Threat Intelligence . يسمح للفرق بدمج التحليل الذكي للمخاطر في "مشروع" لمراجعة جميع البيانات الاصطناعية المتعلقة بسيناريو اهتمام محدد. |
في مدخل Defender، استخدم ThreatIntelOjbects و ThreatIntelIndicators مع مؤشرات التسوية للبحث عن التهديدات والاستجابة للحوادث و Copilot وإعداد التقارير وإنشاء رسومات بيانية علائقية تعرض الاتصالات بين المؤشرات والكيانات.
بالنسبة للعملاء الذين يستخدمون موجز Microsoft Defender Threat Intelligence (MDTI)، يتوفر إصدار مجاني عبر موصل بيانات Microsoft Sentinel ل MDTI. يمكن للمستخدمين الذين لديهم تراخيص MDTI أيضا استيعاب بيانات MDTI واستخدام Security Copilot لتحليل التهديدات ومراجعة التهديدات النشطة وبحوث الجهات الفاعلة في التهديد.
لمزيد من المعلومات، راجع:
- إدارة التهديدات
- تحليلات التهديدات في Microsoft Defender XDR
- استخدام المشاريع
- التحليل الذكي للمخاطر في Microsoft Sentinel
استخدام المصنفات لتصور بيانات Microsoft Defender وإعداد تقرير بشأنها
لا تزال مصنفات Azure هي الأداة الأساسية لتصور البيانات والتفاعل في مدخل Defender، وتعمل كما فعلت في مدخل Microsoft Azure.
لاستخدام المصنفات مع البيانات من التتبع المتقدم، تأكد من استيعاب السجلات في Microsoft Sentinel. بينما تحتفظ المصنفات نفسها بك في مدخل Defender، تستمر الأزرار أو الارتباطات المبرمجة لفتح الصفحات أو الموارد في مدخل Microsoft Azure في فتح علامة تبويب منفصلة لمدخل Azure.
لمزيد من المعلومات، راجع تصور بياناتك ومراقبتها باستخدام المصنفات في Microsoft Sentinel.
المحتويات ذات الصلة
- أفضل ما في Microsoft Sentinel - الآن في Microsoft Defender (مدونة)
- شاهد مؤتمر ويب: الانتقال إلى منصة SOC الموحدة: Deep Dive و Interactive Q&A لمحترفي SOC.
- راجع الأسئلة المتداولة في مدونة TechCommunity أو مركز مجتمع Microsoft.