إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
الأجهزة هي أساس عمليات الأمان في Microsoft Defender لنقطة النهاية. يعد فهم كيفية ظهور الأجهزة في بيئتك وكيفية إدارتها بفعالية وكيفية تنظيمها لإجراءات الأمان أمرا ضروريا لحماية مؤسستك.
ما هي الأجهزة في Defender لنقطة النهاية؟
تتضمن الأجهزة في Microsoft Defender لنقطة النهاية أي نقطة نهاية تبلغ الخدمة عن بيانات تتبع الاستخدام للأمان. يشمل ذلك:
- أجهزة الكمبيوتر والأجهزة المحمولة: محطات العمل والخوادم وأجهزة الكمبيوتر المحمولة والأجهزة المحمولة (Windows وmacOS Linux وiOS وAndroid)
- أجهزة الشبكة: أجهزة التوجيه ومفاتيح التبديل والبنية الأساسية الأخرى للشبكة
- أجهزة IoT/OT: الطابعات والكاميرات وأنظمة التحكم الصناعية وأجهزة التكنولوجيا التشغيلية
تظهر الأجهزة في مخزونك من خلال طريقتين أساسيتين:
- الإعداد: الأجهزة التي تقوم بإلحاقها بشكل صريح ب Defender لنقطة النهاية مع تثبيت العامل الكامل. تعرض الأجهزة المإلحاقة حالة الإلحاقللإلحاق وعادة ما يكون لها حالة حماية مستشعر نشط . نظرا لتثبيت العامل، يمكن ل Defender لنقطة النهاية جمع بيانات أمان مفصلة من هذه الأجهزة، بما في ذلك التنبيهات والثغرات الأمنية ومخزون البرامج. لمزيد من المعلومات، راجع إلحاق الأجهزة Microsoft Defender لنقطة النهاية.
- الاكتشاف: يتم اكتشاف الأجهزة تلقائيا على شبكتك دون تثبيت عامل. يحدث الاكتشاف من خلال نقاط النهاية المإلحاقة التي تراقب نسبة استخدام الشبكة (الاكتشاف الأساسي) أو تحقق بنشاط من البيئة (الاكتشاف القياسي). تظهر الأجهزة المكتشفة حالة إلحاقيمكن إلحاقها أو عدم دعمها أو معلومات غير كافية. لمزيد من المعلومات، راجع نظرة عامة على اكتشاف الجهاز.
- أجهزة IoT وOT: تظهر أجهزة IoT والتكنولوجيا التشغيلية (OT) - مثل الطابعات والكاميرات وأنظمة التحكم الصناعية - في المخزون عند تمكين Microsoft Defender ل IoT في مدخل Defender. تظهر هذه الأجهزة في علامة التبويب أجهزة IoT/OT وتتضمن حقولا إضافية مثل نوع الجهاز والنوع الفرعي والمورد والطراز.
يخبرك العمود Discovery sources في مخزون الجهاز بكيفية العثور على كل جهاز: MDE (تم العثور عليه بواسطة مستشعر Defender لنقطة النهاية)، Microsoft Defender ل IoT (تم اكتشافه بواسطة Defender for IoT)، ومصادر أخرى. استخدم هذا العمود لفهم سبب ظهور الجهاز وما إذا كان يتطلب الإلحاق أم لا.
دورة حياة الجهاز ورحلته
تتبع إدارة الأجهزة في Defender لنقطة النهاية دورة حياة يمكن التنبؤ بها. يوضح الجدول التالي المراحل الرئيسية والمهام والأدوار المعنية والوثائق ذات الصلة:
| مرحلة | المهام | الأدوار المعنية | التعرف على المزيد |
|---|---|---|---|
| اكتشاف الأجهزة وإلحاقها | • اكتشاف الأجهزة على شبكتك • إلحاق الأجهزة بعامل Defender لنقطة النهاية • عرض الأجهزة في مخزون الجهاز • تقييم مستويات المخاطر ودرجات التعرض |
مسؤول الأمان عمليات تكنولوجيا المعلومات |
استكشاف الأجهزة في مخزون الجهاز إلحاق الأجهزة تكوين اكتشاف الجهاز |
| إدارة النطاق والصلة | • تصفية الأجهزة العابرة (تلقائي) • استبعاد الأجهزة من إدارة الثغرات الأمنية (يدوي) • تحديد الأجهزة التي تتطلب اهتماما أمنيا |
مسؤول الأمان | إدارة نطاق الجهاز وملاءمته |
| التصنيف والتنظيم باستخدام العلامات والاستثناءات | • إضافة علامات يدوية إلى الأجهزة الفردية • إنشاء علامات ديناميكية باستخدام القواعد • تنظيم الأجهزة في مجموعات ذات معنى • تطبيق العلامات لسياق العمل |
مسؤول الأمان محلل الأمان |
إنشاء علامات الجهاز وإدارتها |
| الأجهزة المستهدفة لإجراءات الأمان | • استخدام مجموعات الأجهزة للوصول المستند إلى الأدوار • جمع بيانات تتبع الاستخدام المخصصة من مجموعات الأجهزة • تطبيق قواعد الأتمتة على الأجهزة ذات العلامات • نشر نهج الأمان لمجموعات الأجهزة |
مسؤول الأمان محلل الأمان |
إنشاء علامات الجهاز والأجهزة المستهدفة وإدارتها جمع البيانات المخصصة |
| التحقق من الأجهزة | • مراجعة المخططات الزمنية للجهاز • التحقيق في التنبيهات والحوادث • تحديد الأجهزة التي تواجه الإنترنت • البحث عن التهديدات عبر مجموعات الأجهزة • اتخاذ إجراءات الاستجابة |
محلل الأمان مسؤول الأمان |
التحقق من الأجهزة مراجعة المخطط الزمني للجهاز تحديد الأجهزة التي تواجه الإنترنت |
| المراقبة والصيانة | • مراقبة حالة سلامة الجهاز • إصلاح أدوات الاستشعار غير الصحية • مراجعة تقارير صحة أداة الاستشعار • تعقب حالة الإلحاق |
عمليات تكنولوجيا المعلومات مسؤول الأمان |
إصلاح أدوات الاستشعار غير الصحية تقارير سلامة الجهاز |
استهداف الجهاز
يستخدم استهداف الجهاز علامات الجهاز لتحديد الأجهزة التي يجب أن تتلقى إجراءات أمان محددة. بدلا من إدارة الأجهزة بشكل فردي، يتيح لك الاستهداف تنظيم الأجهزة في مجموعات ذات معنى وتطبيق التكوينات أو النهج أو قواعد جمع البيانات على نطاق واسع.
العلامات مقابل المجموعات
علامات الجهاز هي تسميات تقوم بإرفاقها بالأجهزة - إما يدويا أو من خلال القواعد الديناميكية - لالتقاط سياق العمل مثل القسم أو الموقع أو الأهمية. يمكن لجميع المستخدمين رؤية الأجهزة ذات العلامات. لا تتحكم العلامات وحدها في الوصول أو تطبق نهج الأمان؛ وهي توفر الأساس التنظيمي للاستهداف.
تعتمد مجموعات الأجهزة على العلامات للتحكم في فرق الأمان التي يمكنها الوصول إلى أجهزة معينة وإدارتها. عند إنشاء مجموعة أجهزة، يمكنك تعريف قواعد المطابقة (غالبا استنادا إلى العلامات)، وتعيين مستويات المعالجة التلقائية، وتعيين Microsoft Entra مجموعات المستخدمين. تمكن مجموعات الأجهزة التحكم في الوصول استنادا إلى الدور (RBAC) بحيث، على سبيل المثال، يرى فريق الأمان الإقليمي الأجهزة فقط في جغرافيتها. للحصول على إرشادات مفصلة، راجع إنشاء مجموعات الأجهزة وإدارتها.
العلامات الديناميكية مقابل العلامات اليدوية
العلامات اليدوية هي تسميات مخصصة تطبقها مباشرة على الأجهزة الفردية من خلال المدخل أو واجهة برمجة التطبيقات. إنها سريعة الإعداد ومفيدة للاحتياجات المخصصة مثل وضع علامات على الأجهزة أثناء التحقيق النشط. ومع ذلك، فإنها لا تتوسع بشكل جيد وتتطلب تحديثات يدوية. العلامات اليدوية غير مدعومة لجمع البيانات المخصصة أو بعض سيناريوهات التنفيذ التلقائي.
يتم تطبيق العلامات الديناميكية تلقائيا استنادا إلى القواعد التي تحددها في إدارة قواعد الأصول. يتم تحديثها مع تغير خصائص الجهاز (كل ساعة تقريبا)، وتوسيع نطاقها إلى آلاف الأجهزة، وهي مطلوبة للقدرات المتقدمة مثل جمع البيانات المخصصة. استخدم العلامات الديناميكية كلما احتجت إلى علامات للبقاء على اطلاع دون جهد يدوي.
هام
تتطلب العديد من قدرات Defender لنقطة النهاية المتقدمة، بما في ذلك جمع البيانات المخصصة، علامات ديناميكية. العلامات اليدوية غير مدعومة لهذه السيناريوهات.
سيناريوهات الاستهداف
يلخص الجدول التالي السيناريوهات الشائعة حيث يقود استهداف الجهاز عمليات الأمان.
| السيناريو | النهج | مثال |
|---|---|---|
| تحقيقات النطاق | ضع علامة على الأجهزة حسب القسم أو الحدث، ثم قم بتصفية التنبيهات واستعلامات التتبع المتقدمة حسب العلامة. | تحقق من جميع Finance-Department الأجهزة للحركة الجانبية المشبوهة. |
| جمع بيانات تتبع الاستخدام المتخصصة | إنشاء علامات ديناميكية للأجهزة المستهدفة، ثم إنشاء قواعد تجميع بيانات مخصصة. يتطلب علامات ديناميكية ومساحة عمل Microsoft Sentinel. | اجمع أحداث الوصول إلى الملفات من Database-Servers لمراقبة الوصول إلى البيانات. |
| أتمتة إجراءات الاستجابة | حدد الاستجابات التلقائية لمجموعات الأجهزة استنادا إلى العلامات. | عزل Public-Kiosk الأجهزة تلقائيا عند اكتشاف برامج ضارة عالية الخطورة. |
| التحكم في وصول المحلل (RBAC) | إنشاء مجموعات الأجهزة من العلامات وتعيينها إلى فرق أمان Microsoft Entra. | امنح فريق الأمان المالي حق الوصول إلى Finance-Department الأجهزة فقط. |
| توزيع قواعد ASR حسب نوع الجهاز | تطبيق نهج تقليل سطح الهجوم المختلفة على مجموعات مختلفة تستند إلى العلامات. | حظر عدواني على Internet-Facing-Servers؛ وضع الاختبار على Development-Machines. |
| فرض الوصول المشروط | استخدم مستويات مخاطر الجهاز وعضوية المجموعة لإبلاغ قرارات الوصول. | طلب المصادقة متعددة العوامل للوصول High-Risk-Devices إلى التطبيقات الحساسة. |
| تنظيم حسب الجغرافيا | وضع علامة على الأجهزة حسب المنطقة أو الموقع لعمليات الأمان الموزعة. | يراقب فريق أمان EMEA الأجهزة ويستجيب لها Location-EMEA . |
| إدارة دورة حياة الجهاز | وضع علامة على الأجهزة حسب المرحلة التشغيلية (الإنتاج والتقسيم المرحلي وإيقاف التشغيل). | تطبيق عناصر التحكم الكاملة على الإنتاج؛ انخفاض المراقبة لإيقاف التشغيل. |
| ميزات الأمان الجديدة التجريبية | تطبيق العلامات اليدوية على مجموعة تجريبية، ونشر الميزة في وضع الاختبار، ثم توسيعها. | وضع علامة على 20 جهازا باستخدام ASR-Pilot-2026، واختبار قاعدة جديدة، وتحسينها، ثم طرحها على نطاق واسع. |
للحصول على إرشادات خطوة بخطوة حول إنشاء العلامات ومجموعات الأجهزة، راجع إنشاء علامات الجهاز والأجهزة المستهدفة وإدارتها.
إجراءات الأمان التي يتم تشغيلها من خلال الاستهداف
تمكنك علامات الجهاز ومجموعاته من تطبيق عمليات الأمان عبر مناطق متعددة:
| إجراء الأمان | الوصف | سيناريوهات | التعرف على المزيد |
|---|---|---|---|
| التحقيقات وتعقب التهديدات | تصفية التنبيهات والتحقيقات في النطاق لمجموعات أجهزة معينة | • التحقيق في جميع أجهزة "إدارة الشؤون المالية" للأنشطة المشبوهة • البحث عن التهديدات عبر "خوادم Windows" في منطقة معينة • تعقب الأجهزة المشاركة في حل وسط باستخدام علامات الحوادث |
الصيد المتقدم |
| جمع البيانات المخصصة | جمع بيانات تتبع الاستخدام المتخصصة من الأجهزة ذات العلامات الديناميكية | • جمع أحداث الملفات من "خوادم قاعدة البيانات" • التقاط اتصالات الشبكة من "محطات عمل المطور" • مراقبة تنفيذ البرنامج النصي على "الأنظمة الإدارية" |
جمع البيانات المخصصة إنشاء قواعد تجميع بيانات مخصصة |
| قواعد التنفيذ التلقائي | تطبيق إجراءات الاستجابة التلقائية على فئات الأجهزة | • عزل أجهزة "Public-Kiosk" تلقائيا إذا تم الكشف عن البرامج الضارة • تشغيل جمع الطب الشرعي على "الخوادم الحرجة" أثناء الحوادث • تقييد "BYOD-Devices" من الموارد الحساسة |
التحقيق التلقائي والاستجابة (AIR) |
| مجموعات الأجهزة للوصول المستند إلى الدور | التحكم في محللي الأمان الذين يمكنهم رؤية أجهزة معينة والعمل عليها | • يدير فريق الأمان المالي أجهزة "إدارة الشؤون المالية" فقط • تقوم الفرق الإقليمية بإدارة الأجهزة في مواقعها الجغرافية • وصول المحللين الصغار فقط إلى مجموعات الأجهزة "غير الإنتاجية" |
إنشاء مجموعات الأجهزة وإدارتها |
| قواعد تقليل الأجزاء المعرضة للهجوم | توزيع عناصر تحكم أمان مختلفة إلى أنواع أجهزة مختلفة | • قواعد حظر صارمة على "الخوادم التي تواجه الإنترنت" • وضع الاختبار على "أجهزة التطوير" • أساس Standard لمحطات عمل المستخدم العامة |
قواعد تقليل الأجزاء المعرضة للهجوم |
| نهج الوصول المشروط | فرض عناصر التحكم في الوصول استنادا إلى وضع أمان الجهاز والعلامات | • طلب مصادقة متعددة العوامل (MFA) ل "الأجهزة عالية المخاطر" • حظر "الأجهزة غير المتوافقة" من موارد الشركة • السماح ل "Managed-BYOD" بالوصول المحدود إلى الخدمات المعتمدة |
الوصول المشروط مع Intune |