توصيل Microsoft Sentinel بـ Microsoft Defender XDR

يتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. عند إلحاق Microsoft Sentinel بمدخل Defender، يمكنك توحيد الإمكانات باستخدام Microsoft Defender XDR مثل إدارة الحوادث والتتبع المتقدم. تقليل تبديل الأدوات وإنشاء تحقيق أكثر تركيزا على السياق يسرع الاستجابة للحوادث ويوقف الخروقات بشكل أسرع. لمزيد من المعلومات، اطلع على:

المتطلبات الأساسية

قبل البدء، راجع وثائق الميزة لفهم تغييرات المنتج وقيوده:

يدعم مدخل Microsoft Defender مستأجر Microsoft Entra واحدا والاتصال بمساحة عمل واحدة في كل مرة. في سياق هذه المقالة، مساحة العمل هي مساحة عمل Log Analytics مع تمكين Microsoft Sentinel.

لإلحاق Microsoft Sentinel واستخدامه في مدخل Microsoft Defender، يجب أن يكون لديك الموارد والوصول التالي:

  • مساحة عمل Log Analytics التي تم تمكين Microsoft Sentinel لها

  • تم تمكين موصل البيانات ل Microsoft Defender XDR (المعروف سابقا باسم Microsoft 365 Defender) في Microsoft Sentinel للحوادث والتنبيهات. لمزيد من المعلومات، راجع توصيل البيانات من Microsoft Defender XDR ب Microsoft Sentinel.

  • الوصول إلى Microsoft Defender XDR في مدخل Defender

  • تم إلحاق Microsoft Defender XDR إلى مستأجر Microsoft Entra

  • حساب Azure مع الأدوار المناسبة لإعداد طلبات الدعم ل Microsoft Sentinel واستخدامها وإنشاءها في مدخل Defender. يسلط الجدول التالي الضوء على بعض الأدوار الرئيسية المطلوبة.

    مهمة الدور المضمن في Azure مطلوب نطاق
    توصيل مساحة عمل أو قطع اتصالها مع تمكين Microsoft Sentinel المالك أو
    مسؤول وصول المستخدم ومساهم Microsoft Sentinel
    - الاشتراك لأدوار

    المالك أو مسؤول وصول المستخدم - الاشتراك أو مجموعة الموارد أو مورد مساحة العمل لمساهم Microsoft Sentinel
    عرض Microsoft Sentinel في مدخل Defender قارئ Microsoft Sentinel الاشتراك أو مجموعة الموارد أو مورد مساحة العمل
    الاستعلام عن جداول بيانات Sentinel أو عرض الحوادث Microsoft Sentinel Reader أو دور له الإجراءات التالية:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    الاشتراك أو مجموعة الموارد أو مورد مساحة العمل
    اتخاذ إجراءات تحقيق في الحوادث Microsoft Sentinel Contributor أو دور له الإجراءات التالية:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    الاشتراك أو مجموعة الموارد أو مورد مساحة العمل
    إنشاء طلب دعم المساهم في طلب المالك أو
    المساهم أو
    الدعم أو دور مخصص مع Microsoft.Support/*
    اكتتاب

    بعد توصيل Microsoft Sentinel بمدخل Defender، تسمح لك أذونات التحكم في الوصول المستندة إلى دور Azure (RBAC) الحالية بالعمل مع ميزات Microsoft Sentinel التي لديك حق الوصول إليها. تابع إدارة الأدوار والأذونات لمستخدمي Microsoft Sentinel من مدخل Microsoft Azure. تنعكس أي تغييرات في التحكم في الوصول استنادا إلى الدور في Azure في مدخل Defender. لمزيد من المعلومات حول أذونات Microsoft Sentinel، راجع الأدوار والأذونات في Microsoft Sentinel | Microsoft Learn وإدارة الوصول إلى بيانات Microsoft Sentinel حسب المورد | Microsoft Learn.

إلحاق Microsoft Sentinel

لتوصيل مساحة عمل تم تمكين Microsoft Sentinel بها إلى Defender XDR، أكمل الخطوات التالية:

  1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.

  2. في Microsoft Defender XDR، حدد Overview.

  3. حدد Connect a workspace.

  4. اختر مساحة العمل التي تريد توصيلها وحدد التالي.

  5. قراءة وفهم تغييرات المنتج المرتبطة بتوصيل مساحة العمل الخاصة بك. تتضمن هذه التغييرات ما يلي:

    • تتوفر أيضا جداول السجل والاستعلامات والوظائف في مساحة عمل Microsoft Sentinel في التتبع المتقدم داخل Defender XDR.
    • يتم تعيين دور Microsoft Sentinel Contributor إلى تطبيقات الحماية من التهديدات من Microsoft وتطبيقات WindowsDefenderATP داخل الاشتراك.
    • يتم إلغاء تنشيط قواعد إنشاء أحداث أمان Microsoft النشطة لتجنب الحوادث المكررة. ينطبق هذا التغيير فقط على قواعد إنشاء الحوادث لتنبيهات Microsoft وليس على قواعد التحليلات الأخرى.
    • يتم دفق جميع التنبيهات المتعلقة بمنتجات Defender XDR مباشرة من موصل بيانات Defender XDR الرئيسي لضمان الاتساق. تأكد من تشغيل الحوادث والتنبيهات من هذا الموصل في مساحة العمل.
  6. حدد اتصال.

بعد توصيل مساحة العمل الخاصة بك، يظهر الشعار في صفحة نظرة عامة أن معلومات الأمان الموحدة وإدارة الأحداث (SIEM) والكشف والاستجابة الموسعة (XDR) جاهزة. يتم تحديث صفحة نظرة عامة بأقسام جديدة تتضمن مقاييس من Microsoft Sentinel مثل عدد موصلات البيانات وقواعد التشغيل التلقائي.

استكشاف ميزات Microsoft Sentinel في مدخل Defender

بعد توصيل مساحة العمل الخاصة بك بمدخل Defender، يكون Microsoft Sentinel في جزء التنقل على الجانب الأيسر. تحتوي صفحات مثل Overview و Incidents و Advanced Hunting على بيانات موحدة من Microsoft Sentinel و Defender XDR. لمزيد من المعلومات حول الإمكانات الموحدة والاختلافات بين المداخل، راجع Microsoft Sentinel في مدخل Microsoft Defender.

يتم دمج العديد من ميزات Microsoft Sentinel الموجودة في مدخل Defender. لهذه الميزات، لاحظ أن التجربة بين Microsoft Sentinel في مدخل Microsoft Azure ومدخل Defender متشابهة. استخدم المقالات التالية لمساعدتك في بدء العمل مع Microsoft Sentinel في مدخل Defender. عند استخدام هذه المقالات، ضع في اعتبارك أن نقطة البداية في هذا السياق هي مدخل Defender بدلا من مدخل Microsoft Azure.

ابحث عن إعدادات Microsoft Sentinel في مدخل Defender ضمنإعدادات>النظام>Microsoft Sentinel.

إلغاء إلحاق Microsoft Sentinel

يمكنك توصيل مساحة عمل واحدة فقط بمدخل Defender في كل مرة. إذا كنت ترغب في الاتصال بمساحة عمل مختلفة تم تمكين Microsoft Sentinel لها، ففصل مساحة العمل الحالية وتوصيل مساحة العمل الأخرى.

  1. انتقل إلى مدخل Microsoft Defender وسجل الدخول.

  2. في مدخل Defender، ضمن System، حدد Settings>Microsoft Sentinel.

  3. في صفحة مساحات العمل ، حدد مساحة العمل المتصلة وفصل مساحة العمل.

  4. قدم سببا لفصل مساحة العمل.

  5. تأكد من اختيارك.

    عند قطع اتصال مساحة العمل الخاصة بك، تتم إزالة قسم Microsoft Sentinel من التنقل الجانبي الأيسر لمدخل Defender. لم تعد البيانات من Microsoft Sentinel مضمنة في صفحة نظرة عامة.

إذا كنت تريد الاتصال بمساحة عمل مختلفة، من صفحة مساحات العمل ، حدد مساحة العمل وقم بتوصيل مساحة عمل.