تقييم أمان Microsoft Defender XDR واختباره
ينطبق على:
- Microsoft Defender XDR
كيفية عمل سلسلة المقالات هذه
تم تصميم هذه السلسلة لتحريكك خلال العملية بأكملها لإعداد بيئة XDR تجريبية، من طرف إلى طرف، حتى تتمكن من تقييم ميزات وقدرات Microsoft Defender XDR وحتى ترقية بيئة التقييم مباشرة إلى الإنتاج عندما تكون جاهزا.
إذا كنت جديدا على التفكير في أمان XDR، يمكنك مسح المقالات السبع المرتبطة في هذه السلسلة ضوئيا للتعرف على مدى شمولا الحل.
- كيفية إنشاء البيئة
- إعداد أو التعرف على كل تقنية من تقنيات Microsoft XDR هذه
- كيفية التحقيق والاستجابة باستخدام XDR هذا
- الترويج للبيئة التجريبية للإنتاج
ما هو XDR Microsoft Defender XDR؟
أمان XDR هو خطوة إلى الأمام في الأمن السيبراني لأنه يأخذ بيانات التهديد من الأنظمة التي تم عزلها مرة واحدة ويوحدها بحيث يمكنك رؤية الأنماط والعمل عليها بشكل أسرع.
على سبيل المثال، يوحد Microsoft XDR نقطة النهاية (الكشف عن نقطة النهاية والاستجابة لها أو EDR) والبريد الإلكتروني والتطبيق وأمان الهوية في مكان واحد.
Microsoft Defender XDR هو حل للكشف والاستجابة eXtended (XDR) يقوم تلقائيا بجمع بيانات الإشارة والتهديد والتنبيه وربطها وتحليلها من خلال بيئة Microsoft 365، بما في ذلك نقطة النهاية والبريد الإلكتروني والتطبيقات والهويات. فهو يستفيد من الذكاء الاصطناعي (الذكاء الاصطناعي) والأتمتة لإيقاف الهجمات تلقائيا، ومعالجة الأصول المتأثرة إلى حالة آمنة.
توصيات Microsoft لتقييم أمان Microsoft Defender XDR
توصي Microsoft بإنشاء تقييمك في اشتراك إنتاج موجود Office 365. بهذه الطريقة سوف تحصل على رؤى العالم الحقيقي على الفور ويمكن ضبط الإعدادات للعمل ضد التهديدات الحالية في بيئتك. بعد اكتساب الخبرة والراحة مع النظام الأساسي، ما عليك سوى ترقية كل مكون، واحدا تلو الآخر، إلى الإنتاج.
تشريح هجوم الأمن السيبراني
Microsoft Defender XDR هي مجموعة دفاع مؤسسية مستندة إلى السحابة وموحدة وما قبل وما بعد الاختراق. وهو ينسق الوقايةوالكشفوالتحقيقوالاستجابة عبر نقاط النهاية والهويات والتطبيقات والبريد الإلكتروني والتطبيقات التعاونية وجميع بياناتها.
في هذا الرسم التوضيحي، هناك هجوم جار. يصل البريد الإلكتروني للتصيد الاحتيالي إلى علبة الوارد لموظف في مؤسستك، يفتح مرفق البريد الإلكتروني دون علمه. يؤدي هذا إلى تثبيت البرامج الضارة، ما يؤدي إلى سلسلة من الأحداث التي قد تنتهي بسرقة البيانات الحساسة. ولكن في هذه الحالة، Defender لـ Office 365 قيد التشغيل.
في الرسم التوضيحي:
- يمكن Exchange Online Protection، وهو جزء من Microsoft Defender لـ Office 365، اكتشاف البريد الإلكتروني للتصيد الاحتيالي واستخدام قواعد تدفق البريد (المعروفة أيضا باسم قواعد النقل) للتأكد من عدم وصوله أبدا إلى علبة الوارد.
- يستخدم Defender لـ Office 365 المرفقات الآمنة لاختبار المرفق وتحديد أنه ضار، وبالتالي فإن البريد الذي يصل إما غير قابل للتنفيذ من قبل المستخدم، أو تمنع النهج البريد من الوصول على الإطلاق.
- يدير Defender لنقطة النهاية الأجهزة التي تتصل بشبكة الشركة وتكشف عن الثغرات الأمنية في الجهاز والشبكة التي قد يتم استغلالها بخلاف ذلك.
- يلاحظ Defender for Identity التغييرات المفاجئة في الحساب مثل تصعيد الامتيازات أو الحركة الجانبية عالية المخاطر. كما يبلغ عن مشكلات الهوية التي يتم استغلالها بسهولة مثل تفويض Kerberos غير المقيد، لتصحيحها من قبل فريق الأمان.
- يلاحظ Microsoft Defender for Cloud Apps سلوكا شاذا مثل السفر المستحيل والوصول إلى بيانات الاعتماد والتنزيل غير العادي أو مشاركة الملفات أو نشاط إعادة توجيه البريد ويبلغ فريق الأمان بذلك.
Microsoft Defender XDR مكونات تأمين الأجهزة والهوية والبيانات والتطبيقات
تتكون Microsoft Defender XDR من هذه التقنيات الأمنية، وتعمل جنبا إلى جنب. لا تحتاج إلى كل هذه المكونات للاستفادة من قدرات XDR Microsoft Defender XDR. سوف تحقق المكاسب والكفاءات من خلال استخدام واحد أو اثنين أيضا.
| مكون | الوصف | مواد مرجعية |
|---|---|---|
| Microsoft Defender للهوية | يستخدم Microsoft Defender for Identity إشارات Active Directory لتحديد التهديدات المتقدمة والهويات المخترقة والإجراءات الداخلية الضارة الموجهة إلى مؤسستك واكتشافها والتحقيق فيها. | ما هو Microsoft Defender للهوية؟ |
| Exchange Online Protection | Exchange Online Protection هي خدمة ترحيل وتصفية SMTP الأصلية المستندة إلى السحابة التي تساعد على حماية مؤسستك من البريد العشوائي والبرامج الضارة. | نظرة عامة على Exchange Online Protection (EOP) - Office 365 |
| Microsoft Defender لـ Office 365 | يحمي Microsoft Defender لـ Office 365 مؤسستك من التهديدات الضارة التي تشكلها رسائل البريد الإلكتروني والارتباطات (عناوين URL) وأدوات التعاون. | Microsoft Defender لـ Office 365 - Office 365 |
| Microsoft Defender for Endpoint | Microsoft Defender لنقطة النهاية هو نظام أساسي موحد لحماية الجهاز واكتشاف ما بعد الاختراق والتحقيق التلقائي والاستجابة الموصى بها. | Microsoft Defender لنقطة النهاية - أمان Windows |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps هو حل شامل عبر SaaS يجلب رؤية عميقة وعناصر تحكم قوية في البيانات وحماية محسنة من التهديدات لتطبيقاتك السحابية. | ما هو Defender for Cloud Apps؟ |
| Microsoft Entra ID Protection | يقوم Microsoft Entra ID Protection بتقييم بيانات المخاطر من مليارات محاولات تسجيل الدخول ويستخدم هذه البيانات لتقييم مخاطر كل تسجيل دخول إلى بيئتك. يتم استخدام هذه البيانات بواسطة Microsoft Entra ID للسماح بالوصول إلى الحساب أو منعه، اعتمادا على كيفية تكوين نهج الوصول المشروط. يتم ترخيص Microsoft Entra ID Protection بشكل منفصل عن Microsoft Defender XDR. يتم تضمينه مع Microsoft Entra ID P2. | ما المقصود بحماية الهوية؟ |
بنية Microsoft Defender XDR
يوضح الرسم التخطيطي أدناه بنية عالية المستوى لمكونات Microsoft Defender XDR الرئيسية والتكاملات. يتم إعطاء بنية مفصلة لكل مكون Defender وسيناريوهات حالة الاستخدام خلال هذه السلسلة من المقالات.
في هذا الرسم التوضيحي:
- يجمع Microsoft Defender XDR بين الإشارات من جميع مكونات Defender لتوفير الكشف والاستجابة الموسعة (XDR) عبر المجالات. يتضمن ذلك قائمة انتظار الحوادث الموحدة، والاستجابة التلقائية لإيقاف الهجمات، والشفاء الذاتي (للأجهزة المخترقة وهويات المستخدم وعلب البريد)، والتتبع عبر التهديدات، وتحليلات التهديدات.
- يحمي Microsoft Defender لـ Office 365 مؤسستك من التهديدات الضارة التي تشكلها رسائل البريد الإلكتروني والارتباطات (عناوين URL) وأدوات التعاون. وتشارك الإشارات الناتجة عن هذه الأنشطة مع Microsoft Defender XDR. تم دمج Exchange Online Protection (EOP) لتوفير حماية شاملة للبريد الإلكتروني والمرفقات الواردة.
- يجمع Microsoft Defender for Identity إشارات من الخوادم التي تقوم بتشغيل خدمات Active Directory الموحدة (AD FS) Active Directory محلي خدمات المجال (AD DS). ويستخدم هذه الإشارات لحماية بيئة الهوية المختلطة، بما في ذلك الحماية من المتسللين الذين يستخدمون الحسابات المخترقة للتنقل أفقيا عبر محطات العمل في البيئة المحلية.
- يجمع Microsoft Defender لنقطة النهاية الإشارات من الأجهزة التي تستخدمها مؤسستك ويحميها.
- يجمع Microsoft Defender for Cloud Apps إشارات من استخدام مؤسستك للتطبيقات السحابية ويحمي البيانات المتدفقة بين بيئتك وهذه التطبيقات، بما في ذلك تطبيقات السحابة المعتمدة وغير المخولة.
- يقوم Microsoft Entra ID Protection بتقييم بيانات المخاطر من مليارات محاولات تسجيل الدخول ويستخدم هذه البيانات لتقييم مخاطر كل تسجيل دخول إلى بيئتك. يتم استخدام هذه البيانات بواسطة Microsoft Entra ID للسماح بالوصول إلى الحساب أو منعه، اعتمادا على كيفية تكوين نهج الوصول المشروط. يتم ترخيص Microsoft Entra ID Protection بشكل منفصل عن Microsoft Defender XDR. يتم تضمينه مع Microsoft Entra ID P2.
يمكن ل Microsoft SIEM وSOAR استخدام البيانات من Microsoft Defender XDR
مكونات بنية اختيارية إضافية غير مضمنة في هذا الرسم التوضيحي:
- يمكن دمج بيانات الإشارة التفصيلية من جميع مكونات Microsoft Defender XDR في Microsoft Azure Sentinel ودمجها مع مصادر التسجيل الأخرى لتقديم إمكانات ونتائج تحليلات SIEM وSOAR الكاملة.
- لمزيد من القراءة حول استخدام Microsoft Sentinel، وهو Azure SIEM، مع Microsoft Defender XDR ك XDR، ألق نظرة على مقالة النظرة العامة هذه وخطوات تكامل Microsoft Sentinel Microsoft Defender XDR.
- لمزيد من المعلومات حول SOAR في Microsoft Sentinel (بما في ذلك ارتباطات إلى أدلة المبادئ في مستودع Microsoft Sentinel GitHub)، يرجى قراءة هذه المقالة.
عملية التقييم Microsoft Defender XDR الأمن السيبراني
توصي Microsoft بتمكين مكونات Microsoft 365 بالترتيب الموضح:
يصف الجدول التالي هذا الرسم التوضيحي.
| الرقم التسلسلي | خطوه | الوصف |
|---|---|---|
| 1 | إنشاء بيئة التقييم | تضمن هذه الخطوة حصولك على الترخيص التجريبي Microsoft Defender XDR. |
| 2 | تمكين Defender for Identity | راجع متطلبات البنية، وقم بتمكين التقييم، وتصفح البرامج التعليمية لتحديد ومعالجة أنواع الهجمات المختلفة. |
| 3 | تمكين Defender لـ Office 365 | تأكد من تلبية متطلبات البنية، وتمكين التقييم، ثم إنشاء البيئة التجريبية. يتضمن هذا المكون Exchange Online Protection وبالتالي ستقوم بالفعل بتقييم كليهما هنا. |
| 4 | تمكين Defender لنقطة النهاية | تأكد من تلبية متطلبات البنية، وتمكين التقييم، ثم إنشاء البيئة التجريبية. |
| 5 | تمكين Microsoft Defender for Cloud Apps | تأكد من تلبية متطلبات البنية، وتمكين التقييم، ثم إنشاء البيئة التجريبية. |
| 6 | التحقق من التهديدات والاستجابة لها | محاكاة هجوم والبدء في استخدام قدرات الاستجابة للحوادث. |
| 7 | ترقية الإصدار التجريبي إلى الإنتاج | ترقية مكونات Microsoft 365 إلى الإنتاج واحدا تلو الآخر. |
يوصى بهذا الترتيب بشكل شائع ومصمم للاستفادة من قيمة القدرات بسرعة استنادا إلى مقدار الجهد المطلوب عادة لنشر القدرات وتكوينها. على سبيل المثال، يمكن تكوين Defender لـ Office 365 في وقت أقل مما يستغرقه تسجيل الأجهزة في Defender لنقطة النهاية. بطبيعة الحال، يجب تحديد أولويات المكونات لتلبية احتياجات عملك، ويمكن تمكينها بترتيب مختلف.
الانتقال إلى الخطوة التالية
التعرف على بيئة تقييم Microsoft Defender XDR و/أو إنشائها
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ