تقييم Microsoft 365 Defender وإعداد إصدار تجريبي منه
ينطبق على:
- Microsoft 365 Defender
كيفية عمل سلسلة المقالات هذه
تم تصميم هذه السلسلة من المقالات لتحريكك خلال العملية بأكملها لإعداد بيئة XDR تجريبية، من طرف إلى طرف، حتى تتمكن من تقييم ميزات وقدرات Microsoft 365 Defender وحتى ترقية بيئة التقييم مباشرة إلى الإنتاج عندما وإذا كنت مستعدا.
إذا كنت جديدا على التفكير في XDR، يمكنك مسح هذه المقالات المرتبطة السبع ضوئيا للتعرف على مدى شمولا الحل.
- كيفية إنشاء البيئة
- إعداد أو التعرف على كل تقنية من تقنيات Microsoft XDR هذه
- كيفية التحقيق والاستجابة باستخدام XDR هذا
- الترويج للبيئة التجريبية للإنتاج
Microsoft 365 Defender هو حل أمان إلكتروني ل Microsoft XDR
Microsoft 365 Defender هو حل الكشف والاستجابة eXtended (XDR) الذي يجمع بيانات الإشارة والتهديد والتنبيه وربطها وتحليلها تلقائيا من خلال بيئة Microsoft 365، بما في ذلك نقطة النهاية والبريد الإلكتروني والتطبيقات والهويات. فهو يستفيد من الذكاء الاصطناعي (الذكاء الاصطناعي) والأتمتة لإيقاف الهجمات تلقائيا ، ومعالجة الأصول المتأثرة في حالة آمنة.
فكر في XDR كخطوة تالية في الأمان، وتوحيد نقطة النهاية (الكشف عن نقطة النهاية والاستجابة لها أو EDR)، والبريد الإلكتروني، والتطبيق، وأمان الهوية في مكان واحد.
توصيات Microsoft لتقييم Microsoft 365 Defender
توصي Microsoft بإنشاء تقييمك في اشتراك إنتاج موجود Office 365. بهذه الطريقة سوف تحصل على رؤى العالم الحقيقي على الفور ويمكن ضبط الإعدادات للعمل ضد التهديدات الحالية في بيئتك. بعد اكتساب الخبرة والراحة مع النظام الأساسي، ما عليك سوى ترقية كل مكون، واحدا تلو الآخر، إلى الإنتاج.
تشريح هجوم الأمن السيبراني
Microsoft 365 Defender هو مجموعة دفاع مؤسسية مستندة إلى السحابة وموحدة وما قبل وما بعد الاختراق. وهو ينسق الوقايةوالكشفوالتحقيقوالاستجابة عبر نقاط النهاية والهويات والتطبيقات والبريد الإلكتروني والتطبيقات التعاونية وجميع بياناتها.
في هذا الرسم التوضيحي، هناك هجوم جار. يصل البريد الإلكتروني للتصيد الاحتيالي إلى علبة الوارد لموظف في مؤسستك، يفتح مرفق البريد الإلكتروني دون علمه. يؤدي هذا إلى تثبيت البرامج الضارة، ما يؤدي إلى سلسلة من الأحداث التي قد تنتهي بسرقة البيانات الحساسة. ولكن في هذه الحالة، Defender لـ Office 365 قيد التشغيل.
في الرسم التوضيحي:
- يمكن Exchange Online Protection، وهو جزء من Microsoft Defender لـ Office 365، الكشف عن البريد الإلكتروني للتصيد الاحتيالي واستخدام قواعد تدفق البريد (المعروفة أيضا باسم قواعد النقل) للتأكد من عدم وصوله أبدا إلى علبة الوارد.
- يستخدم Defender لـ Office 365 المرفقات الآمنة لاختبار المرفق وتحديد أنه ضار، وبالتالي فإن البريد الذي يصل إما غير قابل للتنفيذ من قبل المستخدم، أو تمنع النهج البريد من الوصول على الإطلاق.
- يدير Defender لنقطة النهاية الأجهزة التي تتصل بشبكة الشركة واكتشاف الثغرات الأمنية في الجهاز والشبكة التي قد يتم استغلالها بخلاف ذلك.
- يلاحظ Defender for Identity التغييرات المفاجئة في الحساب مثل تصعيد الامتيازات أو الحركة الجانبية عالية المخاطر. كما يبلغ عن مشكلات الهوية التي يتم استغلالها بسهولة مثل تفويض Kerberos غير المقيد، لتصحيحها من قبل فريق الأمان.
- يلاحظ Microsoft Defender for Cloud Apps سلوكا شاذا مثل السفر المستحيل والوصول إلى بيانات الاعتماد والتنزيل غير العادي أو مشاركة الملفات أو نشاط إعادة توجيه البريد ويبلغ فريق الأمان بذلك.
Microsoft 365 Defender مكونات تأمين الأجهزة والهوية والبيانات والتطبيقات
يتكون Microsoft 365 Defender من هذه التقنيات الأمنية، التي تعمل جنبا إلى جنب. لا تحتاج إلى كل هذه المكونات للاستفادة من قدرات XDR Microsoft 365 Defender. سوف تحقق المكاسب والكفاءات من خلال استخدام واحد أو اثنين أيضا.
| مكون | الوصف | مواد مرجعية |
|---|---|---|
| Microsoft Defender للهوية | يستخدم Microsoft Defender for Identity إشارات Active Directory لتحديد التهديدات المتقدمة والهويات المخترقة والإجراءات الداخلية الضارة الموجهة إلى مؤسستك واكتشافها والتحقيق فيها. | ما هو Microsoft Defender للهوية؟ |
| Exchange Online Protection | Exchange Online Protection هي خدمة ترحيل وتصفية SMTP الأصلية المستندة إلى السحابة التي تساعد على حماية مؤسستك من البريد العشوائي والبرامج الضارة. | نظرة عامة على Exchange Online Protection (EOP) - Office 365 |
| Microsoft Defender لـ Office 365 | يحمي Microsoft Defender لـ Office 365 مؤسستك من التهديدات الضارة التي تشكلها رسائل البريد الإلكتروني والارتباطات (عناوين URL) وأدوات التعاون. | Microsoft Defender لـ Office 365 - Office 365 |
| Microsoft Defender for Endpoint | Microsoft Defender لنقطة النهاية هو نظام أساسي موحد لحماية الجهاز واكتشاف ما بعد الاختراق والتحقيق التلقائي والاستجابة الموصى بها. | Microsoft Defender لنقطة النهاية - أمان Windows |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps هو حل شامل عبر SaaS يجلب رؤية عميقة وعناصر تحكم قوية في البيانات وحماية محسنة من التهديدات لتطبيقاتك السحابية. | ما هو Defender for Cloud Apps؟ |
| حماية الهوية في Azure AD | يقوم Azure AD Identity Protection بتقييم بيانات المخاطر من مليارات محاولات تسجيل الدخول ويستخدم هذه البيانات لتقييم مخاطر كل تسجيل دخول إلى بيئتك. يتم استخدام هذه البيانات بواسطة Azure AD للسماح بالوصول إلى الحساب أو منعه، اعتمادا على كيفية تكوين نهج الوصول المشروط. يتم ترخيص Azure AD Identity Protection بشكل منفصل عن Microsoft 365 Defender. يتم تضمينه مع Azure Active Directory Premium P2. | ما المقصود بحماية الهوية؟ |
بنية Microsoft 365 Defender
يوضح الرسم التخطيطي أدناه بنية عالية المستوى لمكونات Microsoft 365 Defender الرئيسية والتكاملات. يتم إعطاء بنية مفصلة لكل مكون Defender وسيناريوهات حالة الاستخدام خلال هذه السلسلة من المقالات.
في هذا الرسم التوضيحي:
- يجمع Microsoft 365 Defender بين الإشارات من جميع مكونات Defender لتوفير الكشف والاستجابة الموسعة (XDR) عبر المجالات. يتضمن ذلك قائمة انتظار الحوادث الموحدة، والاستجابة التلقائية لإيقاف الهجمات، والشفاء الذاتي (للأجهزة المخترقة وهويات المستخدم وعلب البريد)، والتتبع عبر التهديدات، وتحليلات التهديدات.
- يحمي Microsoft Defender لـ Office 365 مؤسستك من التهديدات الضارة التي تشكلها رسائل البريد الإلكتروني والارتباطات (عناوين URL) وأدوات التعاون. وتشارك الإشارات الناتجة عن هذه الأنشطة مع Microsoft 365 Defender. تم دمج Exchange Online Protection (EOP) لتوفير حماية شاملة للبريد الإلكتروني والمرفقات الواردة.
- يجمع Microsoft Defender for Identity إشارات من الخوادم التي تقوم بتشغيل خدمات Active Directory الموحدة (AD FS) وخدمات مجال Active Directory محلي (AD DS). ويستخدم هذه الإشارات لحماية بيئة الهوية المختلطة الخاصة بك، بما في ذلك الحماية من المتسللين الذين يستخدمون الحسابات المخترقة للتنقل أفقيا عبر محطات العمل في البيئة المحلية.
- تجمع Microsoft Defender لنقطة النهاية الإشارات من الأجهزة التي تستخدمها مؤسستك وتحميها.
- يجمع Microsoft Defender for Cloud Apps إشارات من استخدام مؤسستك للتطبيقات السحابية ويحمي البيانات المتدفقة بين بيئتك وهذه التطبيقات، بما في ذلك تطبيقات السحابة المعتمدة وغير المخولة.
- يقوم Azure AD Identity Protection بتقييم بيانات المخاطر من مليارات محاولات تسجيل الدخول ويستخدم هذه البيانات لتقييم مخاطر كل تسجيل دخول إلى بيئتك. يتم استخدام هذه البيانات بواسطة Azure AD للسماح بالوصول إلى الحساب أو منعه، اعتمادا على كيفية تكوين نهج الوصول المشروط. يتم ترخيص Azure AD Identity Protection بشكل منفصل عن Microsoft 365 Defender. يتم تضمينه مع Azure Active Directory Premium P2.
يمكن ل Microsoft SIEM وSOAR استخدام البيانات من Microsoft 365 Defender
مكونات بنية اختيارية إضافية غير مضمنة في هذا الرسم التوضيحي:
- يمكن دمج بيانات الإشارة التفصيلية من جميع مكونات Microsoft 365 Defender في Microsoft Azure Sentinel ودمجها مع مصادر التسجيل الأخرى لتقديم إمكانات ونتائج تحليلات SIEM وSOAR الكاملة.
- لمزيد من القراءة حول استخدام Microsoft Sentinel، وهو Azure SIEM، مع Microsoft 365 Defender ك XDR، ألق نظرة على مقالة النظرة العامة هذه وخطوات تكامل Microsoft Sentinel Microsoft 365 Defender.
- لمزيد من المعلومات حول SOAR في Microsoft Sentinel (بما في ذلك ارتباطات إلى أدلة المبادئ في مستودع Microsoft Sentinel GitHub)، يرجى قراءة هذه المقالة.
عملية التقييم Microsoft 365 Defender الأمن السيبراني
توصي Microsoft بتمكين مكونات Microsoft 365 بالترتيب الموضح:
يصف الجدول التالي هذا الرسم التوضيحي.
| الرقم التسلسلي | خطوه | الوصف |
|---|---|---|
| 1 | إنشاء بيئة التقييم | تضمن هذه الخطوة حصولك على الترخيص التجريبي Microsoft 365 Defender. |
| 2 | تمكين Defender for Identity | راجع متطلبات البنية، وقم بتمكين التقييم، وتصفح البرامج التعليمية لتحديد ومعالجة أنواع الهجمات المختلفة. |
| 3 | تمكين Defender لـ Office 365 | تأكد من تلبية متطلبات البنية، وتمكين التقييم، ثم إنشاء البيئة التجريبية. يتضمن هذا المكون Exchange Online Protection وبالتالي ستقوم بالفعل بتقييم كليهما هنا. |
| 4 | تمكين Defender لنقطة النهاية | تأكد من تلبية متطلبات البنية، وتمكين التقييم، ثم إنشاء البيئة التجريبية. |
| 5 | تمكين Microsoft Defender for Cloud Apps | تأكد من تلبية متطلبات البنية، وتمكين التقييم، ثم إنشاء البيئة التجريبية. |
| 6 | التحقق من التهديدات والاستجابة لها | محاكاة هجوم والبدء في استخدام قدرات الاستجابة للحوادث. |
| 7 | ترقية الإصدار التجريبي إلى الإنتاج | ترقية مكونات Microsoft 365 إلى الإنتاج واحدا تلو الآخر. |
يوصى بهذا الترتيب بشكل شائع ومصمم للاستفادة من قيمة القدرات بسرعة استنادا إلى مقدار الجهد المطلوب عادة لنشر القدرات وتكوينها. على سبيل المثال، يمكن تكوين Defender لـ Office 365 في وقت أقل مما يستغرقه تسجيل الأجهزة في Defender لنقطة النهاية. بطبيعة الحال، يجب تحديد أولويات المكونات لتلبية احتياجات عملك، ويمكن تمكينها بترتيب مختلف.