توصيل Microsoft Sentinel بـ Microsoft Defender XDR
يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. عند إلحاق Microsoft Sentinel بمدخل Defender، يمكنك توحيد الإمكانات باستخدام Microsoft Defender XDR مثل إدارة الحوادث والتتبع المتقدم. تقليل تبديل الأدوات وإنشاء تحقيق أكثر تركيزا على السياق يسرع الاستجابة للحوادث ويوقف الخروقات بشكل أسرع. لمزيد من المعلومات، اطلع على:
- منشور المدونة: التوفر العام للنظام الأساسي لعمليات الأمان الموحدة من Microsoft
- Microsoft Sentinel في مدخل Microsoft Defender
- تكامل Microsoft Defender XDR مع Microsoft Sentinel
المتطلبات الأساسية
قبل البدء، راجع وثائق الميزة لفهم تغييرات المنتج وقيوده:
- Microsoft Sentinel في مدخل Microsoft Defender
- التتبع المتقدم في مدخل Microsoft Defender
- التنبيهات والحوادث والارتباط في Microsoft Defender XDR
- الأتمتة باستخدام النظام الأساسي لعمليات الأمان الموحدة
يدعم مدخل Microsoft Defender مستأجر Microsoft Entra واحدا والاتصال بمساحة عمل واحدة في كل مرة. في سياق هذه المقالة، مساحة العمل هي مساحة عمل Log Analytics مع تمكين Microsoft Sentinel.
لإلحاق Microsoft Sentinel واستخدامه في مدخل Microsoft Defender، يجب أن يكون لديك الموارد والوصول التالي:
مساحة عمل Log Analytics التي تم تمكين Microsoft Sentinel لها
تم تمكين موصل البيانات ل Microsoft Defender XDR (المعروف سابقا باسم Microsoft 365 Defender) في Microsoft Sentinel للحوادث والتنبيهات. لمزيد من المعلومات، راجع توصيل البيانات من Microsoft Defender XDR ب Microsoft Sentinel.
الوصول إلى Microsoft Defender XDR في مدخل Defender
تم إلحاق Microsoft Defender XDR إلى مستأجر Microsoft Entra
حساب Azure مع الأدوار المناسبة لإعداد طلبات الدعم ل Microsoft Sentinel واستخدامها وإنشاءها في مدخل Defender. يسلط الجدول التالي الضوء على بعض الأدوار الرئيسية المطلوبة.
مهمة الدور المضمن في Azure مطلوب نطاق توصيل مساحة عمل أو قطع اتصالها مع تمكين Microsoft Sentinel المالك أو مسؤول وصول المستخدم ومساهم Microsoft Sentinel - الاشتراك لأدوار المالك أو مسؤول وصول المستخدم - الاشتراك أو مجموعة الموارد أو مورد مساحة العمل لمساهم Microsoft Sentinel عرض Microsoft Sentinel في مدخل Defender قارئ Microsoft Sentinel الاشتراك أو مجموعة الموارد أو مورد مساحة العمل الاستعلام عن جداول بيانات Sentinel أو عرض الحوادث Microsoft Sentinel Reader أو دور له الإجراءات التالية:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/Incidents/read- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/tasks/read الاشتراك أو مجموعة الموارد أو مورد مساحة العمل اتخاذ إجراءات تحقيق في الحوادث Microsoft Sentinel Contributor أو دور له الإجراءات التالية:- Microsoft.OperationalInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query/read- Microsoft.SecurityInsights/incidents/read- Microsoft.SecurityInsights/incidents/write- Microsoft.SecurityInsights/incidents/comments/read- Microsoft.SecurityInsights/incidents/comments/write- Microsoft.SecurityInsights/incidents/relations/read- Microsoft.SecurityInsights/incidents/relations/write- Microsoft.SecurityInsights/incidents/tasks/read- Microsoft.SecurityInsights/incidents/tasks/write الاشتراك أو مجموعة الموارد أو مورد مساحة العمل إنشاء طلب دعم المساهم في طلب المالك أو المساهم أو الدعم أو دور مخصص مع Microsoft.Support/* اكتتاب بعد توصيل Microsoft Sentinel بمدخل Defender، تسمح لك أذونات التحكم في الوصول المستندة إلى دور Azure (RBAC) الحالية بالعمل مع ميزات Microsoft Sentinel التي لديك حق الوصول إليها. تابع إدارة الأدوار والأذونات لمستخدمي Microsoft Sentinel من مدخل Microsoft Azure. تنعكس أي تغييرات في التحكم في الوصول استنادا إلى الدور في Azure في مدخل Defender. لمزيد من المعلومات حول أذونات Microsoft Sentinel، راجع الأدوار والأذونات في Microsoft Sentinel | Microsoft Learn وإدارة الوصول إلى بيانات Microsoft Sentinel حسب المورد | Microsoft Learn.
إلحاق Microsoft Sentinel
لتوصيل مساحة عمل تم تمكين Microsoft Sentinel بها إلى Defender XDR، أكمل الخطوات التالية:
انتقل إلى مدخل Microsoft Defender وسجل الدخول.
في Microsoft Defender XDR، حدد Overview.
حدد Connect a workspace.
اختر مساحة العمل التي تريد توصيلها وحدد التالي.
قراءة وفهم تغييرات المنتج المرتبطة بتوصيل مساحة العمل الخاصة بك. تتضمن هذه التغييرات ما يلي:
- تتوفر أيضا جداول السجل والاستعلامات والوظائف في مساحة عمل Microsoft Sentinel في التتبع المتقدم داخل Defender XDR.
- يتم تعيين دور Microsoft Sentinel Contributor إلى تطبيقات الحماية من التهديدات من Microsoft وتطبيقات WindowsDefenderATP داخل الاشتراك.
- يتم إلغاء تنشيط قواعد إنشاء أحداث أمان Microsoft النشطة لتجنب الحوادث المكررة. ينطبق هذا التغيير فقط على قواعد إنشاء الحوادث لتنبيهات Microsoft وليس على قواعد التحليلات الأخرى.
- يتم دفق جميع التنبيهات المتعلقة بمنتجات Defender XDR مباشرة من موصل بيانات Defender XDR الرئيسي لضمان الاتساق. تأكد من تشغيل الحوادث والتنبيهات من هذا الموصل في مساحة العمل.
حدد اتصال.
بعد توصيل مساحة العمل الخاصة بك، يظهر الشعار في صفحة نظرة عامة أن معلومات الأمان الموحدة وإدارة الأحداث (SIEM) والكشف والاستجابة الموسعة (XDR) جاهزة. يتم تحديث صفحة نظرة عامة بأقسام جديدة تتضمن مقاييس من Microsoft Sentinel مثل عدد موصلات البيانات وقواعد التشغيل التلقائي.
استكشاف ميزات Microsoft Sentinel في مدخل Defender
بعد توصيل مساحة العمل الخاصة بك بمدخل Defender، يكون Microsoft Sentinel في جزء التنقل على الجانب الأيسر. تحتوي صفحات مثل Overview و Incidents و Advanced Hunting على بيانات موحدة من Microsoft Sentinel و Defender XDR. لمزيد من المعلومات حول الإمكانات الموحدة والاختلافات بين المداخل، راجع Microsoft Sentinel في مدخل Microsoft Defender.
يتم دمج العديد من ميزات Microsoft Sentinel الموجودة في مدخل Defender. لهذه الميزات، لاحظ أن التجربة بين Microsoft Sentinel في مدخل Microsoft Azure ومدخل Defender متشابهة. استخدم المقالات التالية لمساعدتك في بدء العمل مع Microsoft Sentinel في مدخل Defender. عند استخدام هذه المقالات، ضع في اعتبارك أن نقطة البداية في هذا السياق هي مدخل Defender بدلا من مدخل Microsoft Azure.
- بحث
- إدارة المخاطر
- تصور بياناتك ومراقبتها باستخدام المصنفات
- إجراء تتبع شامل للمخاطر باستخدام Hunts
- استخدام الإشارات المرجعية للتتبع للتحقيقات في البيانات
- استخدام التتبع Livestream في Microsoft Sentinel للكشف عن التهديد
- البحث عن التهديدات الأمنية باستخدام دفاتر ملاحظات Jupyter
- إضافة مؤشرات بشكل مجمع إلى التحليل الذكي للمخاطر في Microsoft Sentinel من ملف CSV أو JSON
- العمل مع مؤشرات التهديد في Microsoft Sentinel
- فهم التغطية الأمنية بواسطة إطار عمل MITRE ATT&CK
- إدارة المحتوى
- التكوين
- البحث عن موصل بيانات Microsoft Sentinel
- إنشاء قواعد تحليلات مخصصة للكشف عن التهديدات
- العمل مع قواعد تحليلات الكشف في الوقت الفعلي تقريبا (NRT) في Microsoft Sentinel
- إنشاء قوائم المشاهدة
- إدارة قوائم المشاهدة في Microsoft Sentinel
- إنشاء قواعد التنفيذ التلقائي
- إنشاء أدلة مبادئ Microsoft Sentinel وتخصيصها من قوالب المحتوى
ابحث عن إعدادات Microsoft Sentinel في مدخل Defender ضمنإعدادات>النظام>Microsoft Sentinel.
إلغاء إلحاق Microsoft Sentinel
يمكنك توصيل مساحة عمل واحدة فقط بمدخل Defender في كل مرة. إذا كنت ترغب في الاتصال بمساحة عمل مختلفة تم تمكين Microsoft Sentinel لها، ففصل مساحة العمل الحالية وتوصيل مساحة العمل الأخرى.
انتقل إلى مدخل Microsoft Defender وسجل الدخول.
في مدخل Defender، ضمن System، حدد Settings>Microsoft Sentinel.
في صفحة مساحات العمل ، حدد مساحة العمل المتصلة وفصل مساحة العمل.
قدم سببا لفصل مساحة العمل.
تأكد من اختيارك.
عند قطع اتصال مساحة العمل الخاصة بك، تتم إزالة قسم Microsoft Sentinel من التنقل الجانبي الأيسر لمدخل Defender. لم تعد البيانات من Microsoft Sentinel مضمنة في صفحة نظرة عامة.
إذا كنت تريد الاتصال بمساحة عمل مختلفة، من صفحة مساحات العمل ، حدد مساحة العمل وقم بتوصيل مساحة عمل.
المحتويات ذات الصلة
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ