Microsoft Defender for Cloud في مدخل Microsoft Defender
ينطبق على:
Microsoft Defender for Cloud هو الآن جزء من Microsoft Defender XDR. يمكن لفرق الأمان الآن الوصول إلى تنبيهات Defender for Cloud والحوادث داخل مدخل Microsoft Defender، ما يوفر سياقا أكثر ثراء للتحقيقات التي تمتد عبر موارد السحابة والأجهزة والهويات. بالإضافة إلى ذلك، يمكن لفرق الأمان الحصول على الصورة الكاملة للهجوم، بما في ذلك الأحداث المشبوهة والضارة التي تحدث في بيئة السحابة الخاصة بهم، من خلال الارتباطات الفورية للتنبيهات والحوادث.
يجمع مدخل Microsoft Defender بين قدرات الحماية والكشف والتحقيق والاستجابة لحماية الهجمات على الأجهزة والبريد الإلكتروني والتعاون والهوية وتطبيقات السحابة. يتم الآن توسيع قدرات الكشف والتحقيق في المدخل لتشمل الكيانات السحابية، ما يوفر لفرق عمليات الأمان جزءا واحدا من الزجاج لتحسين كفاءتها التشغيلية بشكل كبير.
علاوة على ذلك، أصبحت أحداث وتنبيهات Defender for Cloud الآن جزءا من واجهة برمجة التطبيقات العامة ل Microsoft Defender XDR. يسمح هذا التكامل بتصدير بيانات تنبيهات الأمان إلى أي نظام باستخدام واجهة برمجة تطبيقات واحدة.
شرط
لضمان الوصول إلى تنبيهات Defender for Cloud في مدخل Microsoft Defender، يجب الاشتراك في أي من الخطط المدرجة في توصيل اشتراكات Azure.
الأذونات المطلوبة
ملاحظة
الإذن لعرض تنبيهات وارتباطات Defender for Cloud تلقائي للمستأجر بأكمله. العرض لاشتراكات معينة غير مدعوم. يمكنك استخدام عامل تصفية معرف اشتراك التنبيه لعرض تنبيهات Defender for Cloud المقترنة باشتراك Defender for Cloud محدد في قوائم انتظار التنبيه والحوادث. تعرف على المزيد حول عوامل التصفية.
يتوفر التكامل فقط عن طريق تطبيق دور التحكم في الوصول الموحد (RBAC) المناسب ل Microsoft Defender XDR الموحد ل Defender for Cloud. لعرض تنبيهات Defender for Cloud والارتباطات دون Defender XDR Unified RBAC، يجب أن تكون مسؤولا عاما أو مسؤول أمان في Azure Active Directory.
هام
المسؤول العام هو دور متميز للغاية يجب أن يقتصر على السيناريوهات عندما لا يمكنك استخدام دور موجود. توصي Microsoft باستخدام الأدوار ذات الأذونات القليلة. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك.
تجربة التحقيق في مدخل Microsoft Defender
هام
تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
يصف القسم التالي تجربة الكشف والتحقيق في مدخل Microsoft Defender مع تنبيهات Defender for Cloud.
منطقة | الوصف |
---|---|
الأحداث | سيتم دمج جميع حوادث Defender for Cloud في مدخل Microsoft Defender.
- يتم دعم البحث عن أصول موارد السحابة في قائمة انتظار الحوادث . - سيعرض الرسم البياني لقصة الهجوم مورد السحابة. - ستظهر علامة تبويب الأصول في صفحة الحدث مورد السحابة. - لكل جهاز ظاهري صفحة جهاز خاصة به تحتوي على جميع التنبيهات والنشاطات ذات الصلة. لن يكون هناك تكرار للحوادث من أحمال عمل Defender الأخرى. |
التنبيهات | سيتم دمج جميع تنبيهات Defender for Cloud، بما في ذلك تنبيهات موفري الخدمات متعددي السحابة والداخليين والخارجيين في مدخل Microsoft Defender. ستظهر تنبيهات Defender for Cloud في قائمة انتظار تنبيه مدخل Microsoft Defender.
سيظهر أصل مورد السحابة في علامة التبويب Asset للتنبيه. يتم تحديد الموارد بوضوح كمورد Azure أو Amazon أو Google Cloud. سيتم ربط تنبيهات Defender for Cloud تلقائيا بمستأجر. لن يكون هناك تكرار للتنبيهات من أحمال عمل Defender الأخرى. |
ارتباط التنبيه والحادث | ترتبط التنبيهات والحوادث تلقائيا، ما يوفر سياقا قويا لفرق عمليات الأمان لفهم قصة الهجوم الكاملة في بيئة السحابة الخاصة بهم. |
الكشف عن التهديدات | مطابقة دقيقة للكيانات الظاهرية مع كيانات الجهاز لضمان الدقة والكشف الفعال عن التهديدات. |
واجهة برمجة التطبيقات الموحدة | يتم الآن تضمين تنبيهات وحوادث Defender for Cloud في واجهة برمجة تطبيقات Microsoft Defender XDR العامة، مما يسمح للعملاء بتصدير بيانات تنبيهات الأمان الخاصة بهم إلى أنظمة أخرى باستخدام واجهة برمجة تطبيقات واحدة. |
التتبع المتقدم (معاينة) | تتوفر معلومات حول أحداث تدقيق السحابة لمختلف الأنظمة الأساسية السحابية المحمية بواسطة Defender for Cloud للمؤسسة من خلال جدول CloudAuditEvents في التتبع المتقدم. |
ملاحظة
لا يتم دمج التنبيهات الإعلامية من Defender for Cloud في مدخل Microsoft Defender للسماح بالتركيز على التنبيهات ذات الصلة والخطورة العالية. تعمل هذه الاستراتيجية على تبسيط إدارة الحوادث وتقليل إرهاق التنبيه.
التأثير على مستخدمي Microsoft Sentinel
مطلوب من عملاء Microsoft Sentinel الذين يدمجون حوادث Microsoft Defender XDRواستيعاب تنبيهات Defender for Cloud لإجراء تغييرات التكوين التالية لضمان عدم إنشاء تنبيهات وحوادث مكررة:
- قم بتوصيل موصل Microsoft Defender for Cloud (إصدار أولي) المستند إلى المستأجر لمزامنة مجموعة التنبيهات من جميع اشتراكاتك مع أحداث Defender for Cloud المستندة إلى المستأجر والتي تتدفق عبر موصل أحداث Microsoft Defender XDR.
- افصل موصل تنبيهات Microsoft Defender for Cloud (القديم) المستند إلى الاشتراك لمنع تكرارات التنبيه.
- قم بإيقاف تشغيل أي قواعد تحليلات - إما مجدولة (نوع الاستعلام العادي) أو قواعد أمان Microsoft (إنشاء الحوادث) المستخدمة لإنشاء حوادث من تنبيهات Defender for Cloud. يتم إنشاء Defender for Cloud Incidents تلقائيا في مدخل Defender ومزامنتها مع Microsoft Sentinel.
- إذا لزم الأمر، استخدم قواعد الأتمتة لإغلاق الحوادث الصاخبة، أو استخدم إمكانات الضبط المضمنة في مدخل Defender لمنع تنبيهات معينة.
يجب أيضا ملاحظة التغيير التالي:
- تتم إزالة الإجراء لربط التنبيهات بحوادث مدخل Microsoft Defender.
تعرف على المزيد في استيعاب أحداث Microsoft Defender for Cloud مع تكامل Microsoft Defender XDR.
إيقاف تشغيل تنبيهات Defender for Cloud
يتم تشغيل تنبيهات Defender for Cloud بشكل افتراضي. للحفاظ على الإعدادات المستندة إلى الاشتراك وتجنب المزامنة المستندة إلى المستأجر أو إلغاء الاشتراك من التجربة، قم بتنفيذ الخطوات التالية:
- في مدخل Microsoft Defender، انتقل إلى الإعدادات>Microsoft Defender XDR.
- في إعدادات خدمة التنبيه، ابحث عن تنبيهات Microsoft Defender for Cloud.
- حدد No alerts لإيقاف تشغيل جميع تنبيهات Defender for Cloud. يؤدي تحديد هذا الخيار إلى إيقاف استيعاب تنبيهات Defender for Cloud الجديدة إلى المدخل. تظل التنبيهات التي تم استيعابها مسبقا في صفحة تنبيه أو حادث.
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.