إصدار تجريبي ونشر Microsoft Defender لنقطة النهاية
ينطبق على:
- Microsoft Defender XDR
توفر هذه المقالة سير عمل لتجربة Microsoft Defender لنقطة النهاية ونشره في مؤسستك. يمكنك استخدام هذه التوصيات لإلحاق Microsoft Defender لنقطة النهاية كأداة أمان عبر الإنترنت فردية أو كجزء من حل شامل باستخدام Microsoft Defender XDR.
تفترض هذه المقالة أن لديك مستأجر Microsoft 365 للإنتاج وتعمل على إصدار تجريبي ونشر Microsoft Defender لنقطة النهاية في هذه البيئة. ستحافظ هذه الممارسة على أي إعدادات وتخصيصات تقوم بتكوينها أثناء الإصدار التجريبي الخاص بك للتوزيع الكامل.
يساهم Defender لنقطة النهاية في بنية الثقة المعدومة من خلال المساعدة في منع أو تقليل تلف الأعمال من الخرق. لمزيد من المعلومات، راجع سيناريو منع تلف الأعمال أو تقليله من خرق العمل في إطار عمل اعتماد Microsoft Zero Trust.
التوزيع الشامل ل Microsoft Defender XDR
هذه هي المقالة 4 من 6 في سلسلة لمساعدتك في نشر مكونات Microsoft Defender XDR، بما في ذلك التحقيق في الحوادث والاستجابة لها.
مقالات في هذه السلسلة:
| المرحله | الارتباط |
|---|---|
| A. بدء تشغيل الإصدار التجريبي | بدء تشغيل الإصدار التجريبي |
| ب. تجربة مكونات Microsoft Defender XDR وتوزيعها | - إصدار تجريبي ونشر Defender for Identity - إصدار تجريبي ونشر Defender ل Office 365 - إصدار تجريبي ونشر Defender لنقطة النهاية (هذه المقالة) - إصدار تجريبي من Microsoft Defender for Cloud Apps وتوزيعه |
| ج. التحقق من التهديدات والاستجابة لها | ممارسة التحقيق في الحوادث والاستجابة لها |
إصدار تجريبي لسير العمل ونشره ل Defender for Identity
يوضح الرسم التخطيطي التالي عملية شائعة لنشر منتج أو خدمة في بيئة تكنولوجيا المعلومات.
تبدأ بتقييم المنتج أو الخدمة وكيفية عملها داخل مؤسستك. بعد ذلك، يمكنك تجربة المنتج أو الخدمة مع مجموعة فرعية صغيرة مناسبة من البنية الأساسية للإنتاج للاختبار والتعلم والتخصيص. بعد ذلك، قم بزيادة نطاق التوزيع تدريجيا حتى تتم تغطية البنية الأساسية أو المؤسسة بأكملها.
فيما يلي سير العمل لتجربة Defender for Identity ونشره في بيئة الإنتاج الخاصة بك.
اتبع الخطوات التالية:
- التحقق من حالة الترخيص
- إلحاق نقاط النهاية باستخدام أي من أدوات الإدارة المدعومة
- التحقق من المجموعة التجريبية
- تجربة القدرات
فيما يلي الخطوات الموصى بها لكل مرحلة توزيع.
| مرحلة التوزيع | الوصف |
|---|---|
| تقييم | قم بإجراء تقييم المنتج ل Defender لنقطة النهاية. |
| التجريبيه | تنفيذ الخطوات من 1 إلى 4 لمجموعة تجريبية. |
| التوزيع الكامل | قم بتكوين المجموعة التجريبية في الخطوة 3 أو إضافة مجموعات لتوسيعها إلى ما بعد الإصدار التجريبي وتضمين جميع أجهزتك في النهاية. |
حماية مؤسستك من المتسللين
يوفر Defender for Identity حماية قوية من تلقاء نفسه. ومع ذلك، عند دمجه مع الإمكانات الأخرى ل Microsoft Defender XDR، يوفر Defender لنقطة النهاية بيانات في الإشارات المشتركة التي تساعد معا في إيقاف الهجمات.
فيما يلي مثال على هجوم إلكتروني وكيف تساعد مكونات Microsoft Defender XDR في اكتشافه والتخفيف من حدته.
يكتشف Defender لنقطة النهاية الثغرات الأمنية في الجهاز والشبكة التي قد يتم استغلالها بخلاف ذلك للأجهزة التي تديرها مؤسستك.
يربط Microsoft Defender XDR الإشارات من جميع مكونات Microsoft Defender لتوفير قصة الهجوم الكاملة.
بنية Defender لنقطة النهاية
يوضح الرسم التخطيطي التالي بنية Microsoft Defender لنقطة النهاية والتكاملات.
يصف هذا الجدول الرسم التوضيحي.
| وسيلة شرح | الوصف |
|---|---|
| 1 | يتم تشغيل الأجهزة من خلال إحدى أدوات الإدارة المدعومة. |
| 2 | توفر الأجهزة الداخلية بيانات إشارة Microsoft Defender لنقطة النهاية وتستجيب لها. |
| 3 | يتم ربط الأجهزة المدارة و/أو تسجيلها في معرف Microsoft Entra. |
| 4 | تتم مزامنة أجهزة Windows المرتبطة بالمجال مع معرف Microsoft Entra باستخدام Microsoft Entra Connect. |
| 5 | تتم إدارة تنبيهات Microsoft Defender لنقطة النهاية والتحقيقات والاستجابات في Microsoft Defender XDR. |
تلميح
يأتي Microsoft Defender لنقطة النهاية أيضا مع معمل تقييم داخل المنتج حيث يمكنك إضافة أجهزة تم تكوينها مسبقا وتشغيل عمليات المحاكاة لتقييم قدرات النظام الأساسي. يأتي المختبر مزودا بتجربة إعداد مبسطة يمكن أن تساعد في توضيح قيمة Microsoft Defender لنقطة النهاية بسرعة بما في ذلك إرشادات للعديد من الميزات مثل التتبع المتقدم وتحليلات التهديدات. لمزيد من المعلومات، راجع تقييم الإمكانات. الفرق الرئيسي بين الإرشادات الواردة في هذه المقالة ومختبر التقييم هو بيئة التقييم التي تستخدم أجهزة الإنتاج بينما يستخدم مختبر التقييم الأجهزة غير الإنتاجية.
الخطوة 1: التحقق من حالة الترخيص
ستحتاج أولا إلى التحقق من حالة الترخيص للتحقق من أنه تم توفيرها بشكل صحيح. يمكنك القيام بذلك من خلال مركز الإدارة أو من خلال مدخل Microsoft Azure.
لعرض تراخيصك، انتقل إلى مدخل Microsoft Azure وانتقل إلى قسم ترخيص مدخل Microsoft Azure.
بدلا من ذلك، في مركز الإدارة، انتقل إلىاشتراكات الفوترة>.
على الشاشة، سترى جميع التراخيص المقدمة وحالتها الحالية.
الخطوة 2: إلحاق نقاط النهاية باستخدام أي من أدوات الإدارة المدعومة
بعد التحقق من توفير حالة الترخيص بشكل صحيح، يمكنك بدء إلحاق الأجهزة بالخدمة.
لغرض تقييم Microsoft Defender لنقطة النهاية، نوصي باختيار جهازين من أجهزة Windows لإجراء التقييم عليها.
يمكنك اختيار استخدام أي من أدوات الإدارة المدعومة، ولكن يوفر Intune التكامل الأمثل. لمزيد من المعلومات، راجع تكوين Microsoft Defender لنقطة النهاية في Microsoft Intune.
يوضح موضوع نشر الخطة الخطوات العامة التي تحتاج إلى اتخاذها لنشر Defender لنقطة النهاية.
شاهد هذا الفيديو للحصول على نظرة عامة سريعة على عملية الإعداد وتعرف على الأدوات والأساليب المتوفرة.
خيارات أداة الإلحاق
يسرد الجدول التالي الأدوات المتوفرة استنادا إلى نقطة النهاية التي تحتاج إلى إلحاقها.
| نقطه النهايه | خيارات الأدوات |
|---|---|
| بالنسبة لنظام التشغيل | - البرنامج النصي المحلي (حتى 10 أجهزة) - نهج المجموعة - Microsoft Intune / إدارة الأجهزة المحمولة - Microsoft Endpoint Configuration Manager - البرامج النصية ل VDI |
| ماك | - البرامج النصية المحلية - Microsoft Intune - JAMF Pro - إدارة الأجهزة المحمولة |
| iOS | مستند إلى التطبيق |
| Android | Microsoft Intune |
عند تجربة Microsoft Defender لنقطة النهاية، يمكنك اختيار إلحاق بعض الأجهزة بالخدمة قبل إلحاق مؤسستك بأكملها.
يمكنك بعد ذلك تجربة الإمكانات المتوفرة مثل تشغيل عمليات محاكاة الهجوم ورؤية كيفية ظهور Defender لنقطة النهاية للأنشطة الضارة وتمكينك من إجراء استجابة فعالة.
الخطوة 3: التحقق من المجموعة التجريبية
بعد إكمال خطوات الإلحاق الموضحة في قسم تمكين التقييم، يجب أن تشاهد الأجهزة في قائمة مخزون الجهاز بعد ساعة تقريبا.
عندما ترى أجهزتك المضمنة، يمكنك متابعة تجربة الإمكانات.
الخطوة 4: تجربة القدرات
الآن بعد أن أكملت إعداد بعض الأجهزة وتحققت من أنها تقوم بالإبلاغ إلى الخدمة، تعرف على المنتج من خلال تجربة الإمكانات القوية المتوفرة خارج الصندوق مباشرة.
أثناء الإصدار التجريبي، يمكنك بسهولة البدء في تجربة بعض الميزات لرؤية المنتج قيد التنفيذ دون المرور بخطوات التكوين المعقدة.
لنبدأ بالتحقق من لوحات المعلومات.
عرض مخزون الجهاز
مخزون الجهاز هو المكان الذي سترى فيه قائمة نقاط النهاية وأجهزة الشبكة وأجهزة IoT في شبكتك. لا يوفر لك فقط طريقة عرض للأجهزة الموجودة في شبكتك، ولكنه يمنحك أيضا معلومات متعمقة عنها مثل المجال ومستوى المخاطر والنظام الأساسي لنظام التشغيل وتفاصيل أخرى لتحديد الأجهزة الأكثر عرضة للخطر بسهولة.
عرض لوحة معلومات إدارة الثغرات الأمنية في Microsoft Defender
تساعدك Defender Vulnerability Management على التركيز على نقاط الضعف التي تشكل المخاطر الأكثر إلحاحا والأعلى على المؤسسة. من لوحة المعلومات، احصل على عرض عالي المستوى لدرجة التعرض للمؤسسة، وMicrosoft Secure Score للأجهزة، وتوزيع التعرض للجهاز، وتوصيات الأمان العليا، والبرمجيات الأكثر عرضة للخطر، وأعلى أنشطة المعالجة، وبيانات الجهاز الأكثر عرضة للخطر.
تشغيل محاكاة
يأتي Microsoft Defender لنقطة النهاية مزودا بسيناريوهات هجوم "افعل ذلك بنفسك" يمكنك تشغيلها على أجهزتك التجريبية. يتضمن كل مستند متطلبات نظام التشغيل والتطبيق بالإضافة إلى إرشادات مفصلة خاصة بسيناريو الهجوم. هذه البرامج النصية آمنة وموثقة وسهلة الاستخدام. ستعكس هذه السيناريوهات إمكانات Defender لنقطة النهاية وترشدك خلال تجربة التحقيق.
لتشغيل أي من عمليات المحاكاة المقدمة، تحتاج إلى جهاز واحد على الأقل تم إلحاقه.
في تعليمات>المحاكاة & البرامج التعليمية، حدد أي من سيناريوهات الهجوم المتوفرة التي ترغب في محاكاتها:
السيناريو 1: المستند يسقط الواجهة الخلفية - يحاكي تسليم مستند إغراء هندسيا اجتماعيا. يقوم المستند بتشغيل خلفية معدة خصيصا تمنح المهاجمين التحكم.
السيناريو 2: برنامج PowerShell النصي في هجوم بدون ملف - يحاكي هجوم بدون ملف يعتمد على PowerShell، ويظهر تقليل سطح الهجوم واكتشاف تعلم الجهاز لنشاط الذاكرة الضارة.
السيناريو 3: الاستجابة التلقائية للحوادث - يؤدي إلى التحقيق التلقائي، والذي يتتبع تلقائيا بيانات الاختراق الاصطناعية ويتصل بها لتوسيع نطاق سعة الاستجابة للحوادث.
قم بتنزيل مستند المعاينة المقابل المتوفر مع السيناريو المحدد وقراءته.
قم بتنزيل ملف المحاكاة أو انسخ البرنامج النصي للمحاكاة بالانتقال إلى تعليمات>المحاكاة & البرامج التعليمية. يمكنك اختيار تنزيل الملف أو البرنامج النصي على جهاز الاختبار ولكنه ليس إلزاميا.
قم بتشغيل ملف المحاكاة أو البرنامج النصي على جهاز الاختبار كما هو موضح في مستند المعاينة.
ملاحظة
تحاكي ملفات المحاكاة أو البرامج النصية نشاط الهجوم ولكنها في الواقع حميدة ولن تضر أو تعرض جهاز الاختبار للخطر.
تكامل إدارة معلومات الأمان والأحداث
يمكنك دمج Defender لنقطة النهاية مع Microsoft Sentinel أو خدمة معلومات الأمان العامة وإدارة الأحداث (SIEM) لتمكين المراقبة المركزية للتنبيهات والأنشطة من التطبيقات المتصلة. باستخدام Microsoft Sentinel، يمكنك تحليل أحداث الأمان بشكل أكثر شمولا عبر مؤسستك وإنشاء أدلة مبادئ للاستجابة الفعالة والفورية.
يتضمن Microsoft Sentinel موصل Defender لنقطة النهاية. لمزيد من المعلومات، راجع موصل Microsoft Defender لنقطة النهاية ل Microsoft Sentinel.
للحصول على معلومات حول التكامل مع أنظمة SIEM العامة، راجع تمكين تكامل SIEM في Microsoft Defender لنقطة النهاية.
الخطوة التالية
دمج المعلومات في دليل عمليات أمان Defender لنقطة النهاية في عمليات SecOps الخاصة بك.
الخطوة التالية للتوزيع الشامل ل Microsoft Defender XDR
تابع النشر الشامل ل Microsoft Defender XDR باستخدام الإصدار التجريبي وانشر Microsoft Defender for Cloud Apps.
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ